エスクローサービスや監督・審査役で安全強化する
ロシア語圏サイバー犯罪コミュニティの仮想通貨
Monthly AFCC NEWS:2014 年 3 月 26 日号
(Vol.80)
フィッシングという言葉が 1996 年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途 です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監視 を開始し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核である AFCC
(
Anti-Fraud Command Center:
不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時間 365日体制で数カ国語を駆使し、対策に従事しています。AFCC NEWS は、フィッシングやオンライン犯罪関連ニュース からトピックを厳選し統計情報と共に AFCC がまとめたものです。(2014 年 3 月 26 日発行)
今月のトピック
今月は、『MO’ MONEY MO’ PROBLEMS~お金が増えれば、問題も増える~』と題して、詐欺犯の現金化に一役 買っているロシア語圏アンダーグラウンドの仮想通貨を紹介する。どれもエスクローや交換代理人、審査役を置き、安 全性と確実さには念を入れている。 今月の統計 2 月のフィッシング攻撃件数は、36,883 件と、1 月の 29,034 件から 21%増加した (「フィッシング攻撃数(月次推 移)」参照)。フィッシング攻撃が落ち着きを見せる例年の傾向を考えると、今後の増加が懸念される。また、このように 攻撃数が増加すると、フィッシングを受けるブランドの数が減り、反面ひと月に 5 回以上フィッシングを受けたブランド の占める割合が高まる(特定ブランドが集中的に攻撃される)傾向は、すっかり定着した感がある(「フィッシング攻撃を 受けたブランド数(月次推移)」。「フィッシング攻撃を受けた回数(国別シェア)」では、米国が全体の 77%の攻撃を引 き受けており、微減しながらも高水準を保っている。一方、「フィッシング攻撃のホスト国別分布(月次)」ではランクイン 国が増え、分散傾向が徐々に強まっている。
今月のトピック 『MO’ MONEY MO’ PROBLEMS~お金が増えれば、問題も増える~』 “It's like the more money we come across, the more problems we see”
(出くわす金が増えるほど、出くわす面倒も増えるらしい1) 昨年 5 月、捜査当局によってLiberty Reserve2が閉鎖され、すべての口座が没収されて以来、詐欺師たちは 懐に入れた戦利品を失う恐れのない仮想通貨探しに追われている。わかりやすい選択肢としては、「Perfect Money」と「BitCoin」があるが、いずれもリスクがある。Perfect Moneyの背景は疑わしく、BitCoinには詐欺師の 求める匿名性と捜査当局による押収圧力に対する抵抗力がない。こうしたリスクもあって、詐欺師の面々は、自 らの金融安全性を守るため、独自通貨システムに適応する、あるいは創造する必要に迫られている。 最近の調査結果から、RSA はフォーラム固有の通貨を使う動きが見られることを突き止め、その高まりを追跡 してきた。こうしたフォーラム管理者の監督下にある金融プラットフォームのおかげで、彼らは、Perfect Money や BitCoin といった知られた通貨を選ばずに、仲間内での安全な取引を謳歌している。それどころか、異なるフォー ラムが同じ通貨基盤を共有し、利用拡大を目指している実例も確認されている。 1
MUSD MUSD は、2013 年の 11 月から、とある地下の掲示板のみで使われ始めた通貨である。フォーラムの会員は、 互いにアイテムやサービスを交換したり、掲示板に広告を出したりする際に、この通貨を使うことができる。 MUSD にはエスクローサービスが組み込まれており、匿名性が保証されている。フォーラムの管理者が通貨シ ステムの保証人となっており、すべての運用に対して責任を持っている。 MUSD に対する資金移動は、交換代理人を通じて行う。交換代理人サービスは、現在二人確認されており、 そのうちの一人は MUSD の資金をキエフ(ウクライナ)の事務所を拠点に現実通貨への現金化サービスを提供し ている。交換レートは米ドルにリンクしており、1MUSD=1 米ドルの固定レートとなっている。
UNITED PAYMENT SYSTEM
United Payment System は、4 つの異なるロシア語圏フォーラムで共有されているとみられ、それぞれの フォーラムはその頭文字を組み合わせた副通貨を指定している。例えば、DM RUR、MM RUR といった具合で ある(DM や MM がフォーラム名の頭文字であり、RUR は”ロシア ルーブル”から来ている)。それぞれのフォー ラムは、公式の交換エージェントを持っており、個々の交換エージェントには管理者がいる。交換代理人が”誠実” であることを確認するための監督・審査役として、上級フォーラム会員が指名されている。資金は、交換代理人を 通じて口座に入れたり現金化したりでき、現金化は異なるプリペイドカードにチャージする形で行われる。 興味深いことに、この通貨は多くのフォーラムで横断的に共有されていて、異なるフォーラムの会員間での取 引に使うことができる。 UAPS UAPS はすでに何年もの間使われてきており、ロシア語圏のサイバー犯罪コミュニティの中で最も強力な掲示 板のうちの二つで使われている(そのうち一つでは、”First Commercial Bank”(第一商業銀行)と呼ばれている)。 専門のソフトウェアチームによって改善と更新が繰り返されており、ここで取り上げた三つの通貨の中で、最も先 進的で詐欺師たちにとって安全な選択肢と言えるだろう。資金の追加や現金化は UAPS のシステムから直接行 える。 システムは、エンドユーザーのセキュリ ティとプライバシーの確保を強調し、デー タの保有をわずか二ヶ月のみに限定す る厳格な規定が採用されている。 まとめ ロシア語圏サイバー犯罪コミュニティにおける独自金融システムと通貨の出現は、この業界における、個々の 詐欺師と詐欺師コミュニティの間で「連携・協力・洗練」がより強固になっている傾向を示している。これら新しい 内部通貨は、慎重に管理・保全され、高水準の匿名取引、ユーザーアイデンティティの秘匿が保たれ、捜査当局 による追跡や妨害、口座や資金の差し押さえに対する耐性の強化が行われている。
今月の統計レポート ◆ フィッシング攻撃数(月次推移) 2014 年 2 月、AFCC が検知したフィッシング攻撃件数は 36,883 件と、1 月の 29,034 件から 21%増加した(12 月から減少した分を取り返した)。昨年の今ごろは、記録ずくめだった 2012 年の反動かと思える控えめな数字が 続いていたが、今年はその前年同期比で 35%増となっており、先行きが思いやられる幕開けとなっている。 ◆ フィッシング攻撃を受けたブランド数(月次推移) 2 月にフィッシング攻撃を受けたブランドは 287 件と、1 月の 336 件に比べて約 15%減少した。5 回を超える 攻撃を受けたブランドの占める比率は 52%と、1 月の 50%から若干ながら増加に転じている。 総攻撃回数が増加した月は、攻撃を受けたブランド数が減って、手ひどく集中攻撃を受けたブランドの比率が 増えるという傾向が定着している。攻撃件数が増えれば増えるほど、標的は絞り込まれるということになる。 なお、初めて攻撃を受けたブランドは 2 件だった。 27,463 24,347 26,902 36,966 35,831 45,232 33,861 46,119 62,105 42,364 36,875 29,034 36,883 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 257 260 311 351 341 337 322 304 265 344 328 336 287 134 140 148 182 174 162 149 152 134 187 177 170 148 0 50 100 150 200 250 300 350 400 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 月間5回を超える攻撃を受けたブランド
◆ フィッシング攻撃を受けた回数(国別シェア) 2 月の顔ぶれは、1 月とまったく変わらず、若干の 順位変動が生じたのみであった。 今回も圧倒的な首位となった米国ブランドに対す る攻撃の比率は 77%と、それでも 1 月の 81%に比 べれば微減となった。 2 位以降は、英国が 4%→5%、南アフリカ 2%→ 4%、オランダ 2%→3%、カナダ 2%変わらず、コロン ビア 1%変わらずと、わずかな変化に留まっており、 南アフリカとオランダの順位が入れ替わっただけ だった。 なお、圏外の 43 ヵ国で残りの 8%を分け合った (1 月は、7%を 48 ヵ国で分け合った)。 ◆ フィッシング攻撃を受けたブランド数(国別シェア) 2 月に攻撃を受けた米国のブランドの占めた比率は全体の 27%と、1 月に比べて 2 ポイント増加した。それで も、相変わらず受けた攻撃件数の比率に比べて少ない。2 位の英国は 1 ポイント減の 11%、3 位は、10 ヶ月連続 のインドで 1 月と変わらない 6%、4 位カナダが 1 ポイント増の 5%、5 位豪州は変わらずの 4%と、顔ぶれのみな らず、順位も変化がなかった。 12 月はランクインした国で 4 割ほどしか占めていなかったが、2 月は 54%まで増えている点が目に付く。逆に 1%以下の比率を占める国々の占めるシェアは今回も減少しており、46%を 44 ヵ国で分け合っている(1 月は 49%を 50 ヵ国で分け合った)。 米国 27% 英国 11% その他 44ヵ国 46% 米国 77% 英国 5% 南アフリカ 4% オランダ 3% カナダ 2% コロンビア 1% その他 43ヵ国 8%
◆ フィッシング攻撃の金融機関分類別分布 1 月、大手銀行の利用者を狙う攻撃の比率は、1 月と大差なかった 2 月から一転して 5 ポイント増の 68%を占 めた。さらには、信用金庫に対する攻撃の比率 28%は、1 月から 12 ポイント増加し、2009 年 2 月以来の高水準 となった。当然、地方銀行に対する攻撃の比率は大幅減となっている。この 5%という比率は、1 月に比べて 17 ポイントの大幅減であるとともに、過去最低の結果にあたる。 このチャートが反映しているのは、金融機関に対する攻撃量ではなく、狙われた金融機関を種類別に分類した 攻撃の発生状況である。また、大半のフィッシング攻撃が、地域を限定しないメーリングリストを利用した大量の スパム配信によるものであることから、全国に幅広く分散している大手銀行の顧客がスパムを受信する確率は 高くなる。この全体的な傾向は、2010 年 3 月、それまでの地方銀行への攻撃が大手銀行に向けられるように なって以来、変わらずに続いている。 ◆ フィッシング攻撃のホスト国別分布(月次) 2 月も最も多くのフィッシングをホストした国は米国 だった。しかし、その比率は 34%と、減少した 1 月と変 わらない低水準であった。 カナダ、ドイツの常連組が、今月も"表彰台"を占め、 先月、両国にとって代わられたコロンビアは 10 位まで 後退した(6%→3%)。 今月もランクインを果たした国は多く、急増した前回 より、さらに一ヵ国増えた。残り 28%を 90 ヵ国で分け 合っている(1 月は、25%を 86 ヵ国で分け合ってい た)。 ※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類である。 69% 63% 73% 73% 76% 74% 66% 60% 57% 71% 63% 62% 68% 23% 20% 12% 19% 13% 15% 23% 26% 28% 21% 32% 22% 5% 8% 17% 15% 8% 11% 11% 11% 14% 15% 8% 5% 16% 28% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 米国大手銀行 米国地方銀行 米国信用金庫 米国 34% カナダ 6% ドイツ 5% フランス 4% 3% オランダ 3% トルコ 3% ロシア 3% 英国 3% コロンビア 3% ポーランド 3% 豪州 2% その他90ヵ国 28%
◆ 日本でホストされたフィッシングサイト(月次推移) 2014 年 2 月、日本でホストされたフィッシングサイト数は 12 件だった。 フィッシング対策協議会に寄せられたフィッシング報告件数は、1 月に 4,656 件というとんでもない記録を作っ たが、2 月も 2,836 件(前年同期比 31 倍)と高水準が続いており、その大半は、オンラインゲームサービスや金 融機関のオンラインサービスの利用者を狙ったものだという。また、今月開催されたシンポジウムで警察庁担当 者が明らかにしたところによれば、不正送金の被害額が今年に入ってからの 2 ヶ月間で 6 億円に上っているとい う。2013 年の年間被害額約 14 億円も過去最悪であったが、その記録にわずか 2 ヶ月で迫ったことになる。 これだけ攻撃件数が増えている中で、日本国内のホスティング数が増えていないと言うことは、攻撃者が国際 的に活動を展開していると見るべきだろう。ことオンライン犯罪については、日本はさながらガラパゴス島のよう な環境の恩恵を受けているという楽観論が幅をきかせてきた感があるが、いよいよそうした見方に安住できない 時機が来たと考えるべきであろう。基本的な対策を厳にすると同時に、ユーザに対するセキュリティ意識向上の 啓蒙を推進する必要がある。
AFCC NEWS のバックナンバーは Web でご覧いただけます。
http://japan.emc.com/security/rsa-identity-protection-and-verification/rsa-fraudaction.htm#!リソース
本ニュースレターに関するお問い合せ先
EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子
Tel : (03)6830-3234(直通)、(03)6830-3291(部門代表) eMail : tomoko.shimamiya@rsa.com 0 10 2 11 1 39 11 15 3 7 31 26 12 0 5 10 15 20 25 30 35 40 45 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月
サイバー犯罪グロッサリーAPT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。
Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。
CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。
C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。
Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。
RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。
SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。
Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。
SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。
Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。
ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。
Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター・ブート・レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。
