2月末、米国カリフォルニア州に本社があるセキュリティ企業のFinjan社が、「Finjan Uncovers More than 8,700 FTP Server Credentials」というタイトルのプレスリリースを流した。これは、Finjan社のMalicious Code Research Center (MCRC) が毎月発表する「Malicious Page of the Month」の2008年2月号に基づいている。MCRCが、全世界8,700のFTPサーバーのログイン情報が売買されていることを発見した、というものだ。Finjan社のCTOであるYuval Ben-Itzhak とのメールでのインタビューの模様を交えてレポートを紹介する。
Finjan社がこのレポートを作成するきっかけとなったのは、「悪意がある」と判断されたURL、meoryprof.info (me-or-you-profit「俺かお前の利益の情報」の意味)が、政府関連URL内部で検知されたことをきっかけとしている。MCRCがさらに調査してみると、この悪意のあるURLは、Neospolitという複数のユーザー(攻撃者)がリモートから使用できるように設定されている Software as a Service(SaaS)であることが判明した。この場合のSoftware as a Serviceとは、攻撃用アプリケーション、攻撃に必要な情報や攻撃対象、アプリケーションの使用権利などをパッケージにして販売するもの。この発見されたURLにも、サービスと共にバックエンドにFTPのログイン情報を売買するアプリケーションが見つかっていた。
