フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上 昇の一途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを 検知すると監視を開始し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核 である AFCC(Anti-Fraud Command Center
:
不正対策指令センター)では、200 名以上のフロード・アナリスト が 24 時間 365 日体制で数カ国語を駆使し、対策に従事しています。 AFCC がまとめる月次レポートから、今月のトピックと統計情報をお送りします。 今月のトピックの概要 今月は、『今、知っておくべき SNS に潜む詐欺師たちの罠 ~地下のソーシャル・フィッシング教材から教訓を 得る~』と題して、地下フォーラムに流通するオンライン詐欺師向け教材を紹介する。クリスマスから年末年始 にかけては、ソーシャル・ネットワーキング上の交流が活発になる時機である。機敏なオンライン詐欺師たちが この機会を見逃すはずもない。彼らに向けたフィッシングやそれに用いるマルウェアの拡散手法の解説を逆手 に、私たちが得るべき教訓を紹介する。 今月の統計のハイライト 11 月のフィッシング攻撃件数は、過去最高となった 10 月から一転して、31%減少したが、それでも前年同期 と同水準の 42,364 件に達した。 (「フィッシング攻撃数(月次推移)」参照)。フィッシングを受けたブランドの件 数は漸減基調から一転したが、ひと月に 5 回以上の攻撃を受けたブランドの占めた比率は 55%にもなり、 (「フィッシング攻撃を受けたブランド数(月次推移)」)、一部のブランドに対する集中傾向が加速している様子が 窺える。 国別フィッシング被害のまとめにおいて、「フィッシング攻撃を受けた回数(国別シェア)」、では、今回も米国 が全体の 76%の攻撃を引き受けている。10 月に続いて、米国のブランドに攻撃が集中している現状が明らか となった。
今月のトピック 『今、知っておくべき SNS に潜む詐欺師たちの罠 ~地下のソーシャル・フィッシング 教材から教訓を得る~』 はじめに アメリカでの感謝祭休暇は過ぎたが、クリスマスから年末年始へと、ホリデーシーズンはまだ続く。家族 旅行、実家への帰省を計画する人たちもいれば、期末試験を終えた学生たちは友だち同士でスキーに行 く計画を立てているかもしれない。オンライン・ショッピングが活況を呈する同時に、この季節はオンライン 上の関係性、つまり、SNS サイトの交流も活発になる季節である。オンライン詐欺師たちは、こうした変化 をことごとく好機にしようとする。RSA が近ごろ発見した、地下市場で流通しているマルウェア拡散の教材 によれば、トロイの木馬、ボット、RAT(リモートアクセス用トロイの木馬)を拡散するには、Facebook、 Tagged、YouTube など、多くのユーザーが集まる SNS サイトでのフィッシングが実に効果的だと指摘して いる。 SNS サイトは、ほとんどのインターネットユーザーにとって、生活の一部となっているといって差し支えなVol.77
2013 年 12 月 24 日 フィッシングやオンライン犯罪関連ニュースいだろう。今日市場にあるスマートフォンやタブレットの大半は、標準で SNS が利用できるように作られて いる。そして、SNS 参加者の大多数は疑うことを知らないお人好しである。つまり、オンライン詐欺師たち にとって、「ソーシャル・フィッシング」はきわめて容易なのである。今回紹介する教材を提供している人物 は機知に富んでおり、その上、気前がいい。この教材は、マルウェアの拡散方法だけでなく、マルウェアの 感染に使えるツールやリソースまで教えてくれる。 闇の教材より その 1 ~ソーシャル・フィッシングの始め方~ まず、若い女の子を装った偽りのプロフィールページを SNS サイト上に開設する。自ら開設してもいいし、 誰かに幾ばくかの報酬を与えて開設させてもいい。開設できたら、誰かを招待して友だちにしよう。誰でも いい。友だちの数が増えたら、次のステップだ。 私たちへの教訓~その 1 見覚えのない人物、とりわけ可愛らしい女性からの友達申請には注意が必要だ。自分の友だちが迂闊 にも、疑わしい人物と友だちになってしまう可能性もある。友だちの友だちだから、安心して友だちになれ る、とは必ずしも言い切れない。少なくとも、SNS 上は、現実社会に比べて、そのリスクが遙かに高い。 闇の教材より その 2 ~マルウェアの偽装法~ ページ開設と並行してやらないといけないのが、マルウェアをそれとわからないように偽装することだ。 暗号化: セキュリティソフトに検知されないようファイルを暗号化する。 結合:可愛らしい女の子など、当たり障りのなさそうな写真と抱き合わせる。 アイコンの差し替え:マルウェアと結合した写真ファイルのアイコンをさらに別のアイコンに変更する 拡張子の変更:当たり障りないスライドショーなどに見せかけるため、ファイルの拡張子を変える。 私たちへの教訓~その 2 拡張子やアイコンはいくらでも偽装できること、セキュリティソフトのウイルスチェックも万能とは言えない ことを忘れてはいけない。 闇の教材より その 3 ~投稿を使った拡散法~ 友だちが増えたら、彼らが食いつきそうなメッセージを投稿しよう。その中には、あらかじめ用意しておい たマルウェアを感染させるためにリンクを組み込むである。気の利いたメッセージを投稿できれば、あっと いうまに拡散させることができる。 私たちへの教訓 その 3 SNS 上でのリンクは、しばしば短縮化されていて、どんなサイトに連れて行かれるか、わからない場合 も多い。短縮化された URL をチェックしてくれる仕組みなどもあるが、ほんとうに信頼できる発信元でない 場合、とりわけいたずらに好奇心を刺激するような内容などは、クリックするのを我慢するのが賢明だ。 闇の教材より その 4 ~マルウェアの偽装法~ SNS 上での投稿は事業者がチェックしていて、そこから足が着く恐れもある。それが心配ならば、メール でマルウェアを送り込む方法もある。SNS サイト上の友だちから、言葉巧みにメールアドレスを聞き出し、
そこに偽装したファイルを送りつければいい。 私たちへの教訓 その 4 危険なやり取りは、SNS 上での投稿やメッセージだけとは限らない。さほど必要のないのに、メールアド レスを聞いてくる人は慎重な対応が必要だ。教えたとたんに、スパムメールが激増する恐れもある。当然、 普段使っているメールアドレスをプロフィールとして開示するのは、かなりのリスクを伴う行為である。 闇の教材より その 5 ~自動ダウンロードリンクの準備~ Facebook や Tagged といった SNS サイトに、オンライン・ストレージやファイル共有サイトを組み合わせ て利用することで、クリックするだけで自動的にマルウェアをダウンロードする仕組みができる。マルウェア をオンライン・ストレージやファイル共有サイトにアップロードし、そのファイルへのリンクを埋め込んだメッ セージを SNS サイトで投稿する。 私たちへの教訓 その 5 友だちがシェアした投稿にも思わぬ罠が仕掛けられている可能性がある。友だちの友だち(と思いこん でいる詐欺師)からの好ましからざる贈り物かも知れない。 闇の教材より その 6 ~YouTube を使った配布法~ YouTube の視聴者数は、既存のテレビ局やケーブルテレビ局に匹敵する規模となっている。それだけ でなく、YouTube は、視聴者が映像に対するコメントをかわし、映像へのリンクやプレイリストを共有し、 チャネルを購読したり、好きな映像を話題にしたブログを書いたりする、一大ソーシャル・ネットワーク・サイ トとなっている。そこで、YouTube へのリンクに見せかけて、実際には偽装したマルウェアにつながるリンク を組み入れたメッセージをアップロードするのである。やるべきことは、疑うことを知らない YouTube の利 用者の気を引きリンクをクリックさせられるような、気の利いたコメントを考えるだけである。 私たちへの教訓 その 6 YouTube でのやり取りに、フィッシングの脅威が潜んでいるとは意外に思う人も多かろう。口座番号やク レジットカード番号を尋ねられた時だけ、慎重になれば安全、というわけにはいかないことを忘れてはいけ ない。 まとめ この教材の作者や、その読者たちが、この冬のホリデー・シーズン(つまりサイバー犯の書き入れ時)を 念頭に置いて、マルウェアの拡散方法を広めたり、学んだりしているのは明らかである。 さらに言えば、かつてのフィッシングといえば、犯罪者たちが欲しい情報を入力させるために偽りのペー ジを表示するものであったが、今では、欲しい情報を盗み出すためのトロイの木馬などに感染させるため に、フィッシングを用いるケースも増えている。 これからしばらくの間、彼らは、戸口に「フィッシングに出かけてます※」と看板をかけて、多くの人々の PC の制御を奪うという最終目標に向けて大いに勤しむことになるだろう。 みなさん、くれぐれもご注意ください。 ※アメリカでは、しばらく店を閉めたりする際に「釣りに出かけています」と札を掛ける習慣がある
今月の統計レポート フィッシング攻撃数(月次推移) 2013 年 11 月、AFCC が検知したフィッシング攻撃件数は 42,364 件と、10 月の 62,105 件から 31%減 少した。とはいえ、記録ラッシュだった前年の同期とほぼ同じ水準である。そもそも、月間 4 万件の大台は、 2007 年 8 月の調査開始以来、2012 年の 6 月まで一度もなく、通算でも 8 回しか起きていない。相対的に は減っているが、間違っても少ないとは言えない高水準である。 例年 12 月に入ると、攻撃そのものの件数は減少する傾向にある。ただし、それは、詐欺師たちが「種ま き」から「刈り取り」へ移行することが主な要因である。実際の被害が起きるのは、これから、という可能性 を忘れてはいけない。 フィッシング攻撃を受けたブランド数(月次推移) 11 月にフィッシング攻撃を受けたブランドは 344 件と、10 月の 265 件に比べて約 30%増加した。総数 としては、5 ヶ月続いた減少がリセットされた形になった。しかし、5 回を超える攻撃を受けたブランドは 187 件(55%)と、10 月の 51%から比率を上げている。攻撃を受けたブランドは増えたものの、手ひどく集中攻 撃を受けたブランドの件数、比率は共に増加している。なお、初めて攻撃を受けたブランドはなかった。 41,834 29,581 30,151 27,463 24,347 26,902 36,966 35,831 45,232 33,861 46,119 62,105 42,364 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 284 257 291 257 260 311 351 341 337 322 304 265 344 156 131 148 134 140 148 182 174 162 149 152 134 187 0 50 100 150 200 250 300 350 400 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 月間5回を超える攻撃を受けたブランド
フィッシング攻撃を受けた回数(国別シェア) 米国のブランドは、10 月 81%のフィッシング攻撃を引き受けたが、11 月も 76%もの集中攻撃を浴びせ られた。今年 9 月までの平均は 50%ほどで推移してきたが、この 2 ヶ月でバランスが一変している。 2 位以降は文字通りドングリの背比べで、英国が 5%、インドが 4%、南アフリカが 2%、カナダが 2%と続 き、ドイツ、オランダが圏外に去った。とりわけ、 9 月に 31%で 2 位を占めたドイツは、先月 2% 今月圏外と、バランスが一変したもう一つの 象徴となっている。なお、今年 7 月まで常連 だったカナダが 4 ヶ月ぶりにランクインしてい る。 比率が 1%を超える国は、10 月と同じ 5 ヵ 国で、相変わらず集中傾向のまま推移してい る。今月は、残る 12%を 49 ヵ国で分け合った (10 月は、9%を 43 ヵ国で分け合った)。 フィッシング攻撃を受けたブランド数(国別シェア) 11 月も攻撃を受けた米国のブランドの占めた比率は全体の 26%と、受けた攻撃総数の割には少なく、 10 月の水準からさらに 6 ポイント減少した。 2 位の英国は 3 ポイント増の 12%、3 位は、7 ヶ月連続のインドが 6%を占めた。その後は、フランス 4%、 ブラジル 3%と続き、こちらでもドイツが圏外 に消えた。ランクインした国も、9 月 9 ヵ国→ 10 月 6 ヵ国→11 月 5 ヵ国と減少している。 1%以下の比率を占める国々の占めるシェ アはさらに増え、ほぼ半数の 48%を 49 ヵ国で 分け合った(10 月は 43%を 42 ヵ国で分け 合っている)。 米国 26% 英国 12% インド 6% フランス 4% ブラジル 3% その他 49ヵ国 48% 米国 76% 英国 5% インド 4% 南アフリカ 2% カナダ 2% その他 49ヵ国 12%
フィッシング攻撃の金融機関分類別分布 11 月に入って、8 月以来続いていた大手銀行の利用者を狙う攻撃の比率の漸減傾向に歯止めがか かった。10 月の 57%から 71%へと 14 ポイント比率が増大し、地方銀行や信用金庫の利用者を狙った攻 撃がそれぞれ 7 ポイント比率を下げた。 このチャートが反映しているのは、金融機関に対する攻撃量ではなく、狙われた金融機関を種類別に分 類した攻撃の発生状況である。また、大半のフィッシング攻撃が、地域を限定しないメーリングリストを利 用した大量のスパム配信によるものであることから、全国に幅広く分散している大手銀行の顧客がスパム を受信する確率は高くなる。この全体的な傾向は、2010 年 3 月、それまでの地方銀行への攻撃が大手銀 行に向けられるようになって以来、変わらずに続いている。 フィッシング攻撃のホスト国別分布(月次) 11 月も最も多くのフィッシングをホストした 国は米国だった。その比率は 47%と、10 月 の 45%から 2 ポイントの増加となった。 それ以降の国々は似たり寄ったりで、ドイ ツ 6%、英国 6%、オランダ 5%、コロンビア 4%、カナダ 3%、豪州 3%と続いている。 1%以上の比率を占めた国は 7 ヵ国と変 わらず、残り 26%を 57 ヵ国で分け合った (10 月は、31%を 62 ヵ国で分け合った)。 ※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分 類である。 79% 79% 70% 69% 63% 73% 73% 76% 74% 66% 60% 57% 71% 9% 15% 15% 23% 20% 12% 19% 13% 15% 23% 26% 28% 21% 12% 6% 15% 8% 17% 15% 8% 11% 11% 11% 14% 15% 8% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 米国大手銀行 米国地方銀行 米国信用金庫 米国 47% ドイツ 6% 英国 6% オランダ 5% コロンビア 4% カナダ 3% 豪州 3% その他 57ヵ国 26%
日本でホストされたフィッシングサイト(月次推移)
2013 年 11 月、日本でホストされたフィッシングサイト数は 7 件であった。その一方で、11 月に入ってか らフィッシング対策協議会に寄せられたフィッシング報告件数は、962 件と、かつてない規模に増加した。 11 月は、eoWeb メール(ウェブメール)、三菱東京 UFJ 銀行、コミュファ光 Web メーと続き、12 月に入って も楽天銀行、ハンゲームといったブランドの利用者を狙ったフィッシングについて、注意喚起がなされてい る。また、大学などで使用されているWeb メール(Active! Mail)システムのアカウントを狙うフィッシングメー ルが出回っているという注意喚起も出ており、悪用されたブランドの数も 10 件に達した。
引き続き、基本的な対策を厳にすると同時に、ユーザに対するセキュリティ意識向上の啓蒙を推進する 必要がある。
※ この報告は、AFCC が把握している攻撃の数です。AFCC が毎月発表する「RSA Monthly Online Fraud Report」が Web に掲載されています。
http://japan.emc.com/security/rsa-identity-protection-and-verification/rsa-fraudaction.htm#!リソース 本ニュースレターに関するお問い合せ先
EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子
Tel : (03)6830-3234(直通) eMail : [email protected] 0 24 2 0 10 2 11 1 39 11 15 3 7 0 5 10 15 20 25 30 35 40 45 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月
サイバー犯罪グロッサリーAPT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。
Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。
CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。
C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。
Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。
RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。
SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。
Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。
SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。
Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。
ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。
Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター・ブート・レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。 最近はサービスとしても提供されている。
