Tor接続ユーザー急増の原因となったマルウェア、トレンドマイクロが分析

　トレンドマイクロは9日、匿名ネットワーク「Tor」への接続ユーザー数が急増したことについて、「Mevade」と呼ばれる不正プログラムが発端となったとする分析を示し、Mevadeの挙動や侵入方法についての情報をブログで公表した。

　Tor Projectが公表しているTorネットワークへの接続ユーザー数は、最近1年ほどは50万ユーザー前後で推移していたが、8月19日ごろからユーザー数が急激に増加し、9月4日には約350万ユーザーを突破。Tor Projectでは、この急激な増加はボットネットが原因である可能性が高いとする見解を示している。

　トレンドマイクロでは、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によるフィードバックから、不正プログラム「Mevade」が8月最終週から9月初めにかけて、実際にTorのモジュールをダウンロードしていることが判明したと説明。犯罪者が司令サーバー（C&Cサーバー）を隠蔽するために、Torを利用したものと考えられると分析している。

　トレンドマイクロが最初に収集したMevadeの検体は、Flash Playerの更新プログラムを装い、「FlashPlayerUpdateService.exe」というファイル名でダウンロードされ、ユーザー環境に侵入したことが確認されている。このファイルによりダウンロードされる「BKDR_MEVADE.A」は、HTTP経由でC&Cサーバーと通信してコマンドを受け取り、自身のコピーを更新し、SSHを利用して特定の場所に接続するといった活動を行う。

　一方、「BKDR_MEVADE.B」「BKDR_MEVADE.C」として検出される新たな亜種は、活動や拡散方法などは従来と同様だが、SSHではなくTorネットワークを利用することが確認されたという。亜種の侵入経路に関しては現在調査中で、確認次第公表するとしている。