ブラジルの決済サービスBoletのマルウェア、C&Cサーバー1台に約1,500万円もの不正送金記録

(1)

ブラジルの決済サービス

Bolet のマルウェア、

C&C サーバー1 台に約 1,500 万円もの不正送金記録

Monthly AFCC NEWS：2014

年

11

月号

_（Vol.88）

フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の一途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監視を開始し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核である AFCC （

Anti-Fraud Command Center：

不正対策指令センター）では、200 名以上のフロード・アナリストが 24 時間 365 日体制で数カ国語を駆使し、対策に従事しています。AFCC NEWS は、フィッシングやオンライン犯罪関連ニュースからトピックを厳選し統計情報と共に AFCC がまとめたものです。（2014 年 12 月 4 日発行）

今月のトピック

今月は、『BOLETO ONYX VARIANT IN THE WILD～ブラジル固有の決済サービスを狙った新種のマルウェア ONYX～』と題して、ブラジルで広く使われている決済サービス、BOLETO の利用者を狙ったマルウェアの広まりについて紹介する。今月の統計 10 月のフィッシング攻撃件数は、34,787 件と、9 月の 24,794 件から 40%増加した。一時前年比 5 割増しだった年間累計数は、ここ数ヶ月の減速もあって、昨年の同時期と同水準に追いつかれた格好になった(「フィッシング攻撃数（月次推移）」参照)。「フィッシング攻撃を受けたブランド数（月次推移）」は、9 月の 249 件から約 13%減少した。しかし、5 回を超える攻撃を受けた比率は、9 月より 3 ポイントほど減少しており、一概に一極集中が加速したと言い切れない状況にある。「フィッシング攻撃を受けた回数（国別シェア）」では米国が 14 ポイント増加し、攻撃の激しかった年初の水準に近づいてきている。



今月のトピック：「BOLETO ONYX VARIANT IN THE WILD～ブラジル固有の決済サービスを狙った新 種のマルウェア ONYX～」  はじめに ブラジル特有の決済サービスBoleto1_{の利用者を狙うマルウェア(通称 Bolware)は、ブラジルで近年発生してい} るクリティカルな脅威をもたらす大規模なサイバー犯罪活動である。その最初の兆候は、2012 年末から 2013 年の初めごろローカルニュースに取り上げられたころに遡る。RSAでも、この夏、Boletoを巡る状況と、Eupuds（別名 Ruby）と呼ばれるマルウェアについて報告している。今回報告するのは、その続報にあたり、Onyxという名で知られるBolwareに関する調査結果である。 1 Boleto Bancário。ブラジルで最もよく使われているオンライン/オフライン支払い方法の一つ。

(2)

 Onyx と Eupuds の同じところ、違うところ マルウェア Onyx は、Boleto の支払い情報を書き換えることで、送金先を犯罪者へと書き換えるという行動原理に沿って動作する。この点は、Eupuds の亜種と同じである。しかし、それ以外の点は多くにおいて両者は異なっている。

Microsoft Internet Explorer（MS IE）、Chrome、Firefox に対応する点は同じだが、感染方法は全く異なっている。 Eupuds は実行時にブラウザーのメモリーに不正なコードを感染させるが、Onyx は以下のようにブラウザーによって感染方法が異なる。  MS IE の場合

ブラウザーの COM (Component Object Model)インターフェイスを使って、Boleto 情報を改変する  Chrome 及び Firefox の場合 Flash のプラグインを装った拡張機能としてインストールされ、Javascript として実行される。 Chrome の場合図-1: マルウェアに偽造された Boleto の伝票

(3)

また、Eupuds は Boleto のバーコード画像に HTML コメントを追加することで無効にするが、Onyx は自身のサーバーから不正なバーコードをダウンロードしたり、新しいバーコードを構成しようとしたりする。

こうした相違点をまとめたのが、以下の表である。

Bolware Eupuds (別名Ruby) Bolware Onyx

銀行コード変更する変更しない入力可能な行変更する変更するバーコード変更しない変更する（バーコードを追加するものもある）プロトコル XMLをXORキーで難読化しHTTPで送信平文をHTTPで送信サーバー複数サーバー非対応 (複数IPアドレスに対応) 複数サーバー対応 (乗っ取りサーバーも利用可) C&Cサーバーの環境 PHP + MySQL（RDBMS） PHP + テキストファイルユーザー個人情報の盗用標的のLive.com 非対応感染メカニズムプロセス上でCeateRemoteThread()を実行 MS IE……COMインターフェイス Firefox･Chrome……拡張機能対象ブラウザー _{MS IE/ Firefox / Chrome} _{MS IE/ Firefox / Chrome} 対象OS Windows Windows MAC OSやLinuxも可能性あり表-1: Eupuds と Onyx の比較表 ※ それぞれの Bolware には実には多くの亜種があり、それぞれに機能が異なるため、この表の内容は、RSA が収集したサンプルに基づいて作成している。  Onyx サーバーから回収された統計情報

ここでは、RSA がある Onyx の C&C サーバーから回収した興味深い情報について報告する。

最も多くの被害者を出しているのは Firefox で、過半数を超えている。次いで、Chrome が 3 割強を占め、MS IE は 8 分の 1 に留まっている。

(4)

Onyx も、Eupuds 同様、個人、法人を問わずブラジル市場を標的にしている。被害者の多くはブラジル市民だが、国外に暮らすブラジル人の間にも被害者は出ている。すべての被害者も、Boleto をオンラインで生成して、ブラジルのオンラインバンキングシステムを使って支払いができるようにしていた。マルウェアの分布は、当然のことながら、人口密集地に集中しており、これも Eupuds のケースと同様である。 RSA がこの 8 月からの一ヶ月ほど監視していたある C&C サーバーでは、3,072 名の被害者が感染し、31 万図-5: ブラジル国内における Onyx の感染者の所在地図-4: Onyx が感染したブラウザーの比率

(5)

 RSA が提供している金融機関向けの対策

RSA では、RSA Fraud Action を通じて、市中の Bolware の感染ポイントの閉鎖を行っている。他にも、感染者の BoletoID リストを RSS フィード形式での提供や、不正改変された Boleto 情報から得られた情報の提供も行っている。後者は、被害に遭った口座からの被害拡大を防ぐために銀行にとって有用な情報となる。

RSA Security Analytics は、Bolware が使っている C&C サーバーとの間の通信をすべて監視したり、不正な活動を特定したりするのに効果がある。

RSA ECAT を使えば、エンドユーザーの環境に Bolware が感染しているかどうか検知することができる。

※ ただし、RSA ECAT は、エンタープライズ企業向け製品のため、Bolware を検知できるのは従業員の端末のみで、利用者の感染状況の検知は難しい。  利用者向けの注意事項 RSA では、金融機関に対して、利用者向けに以下の点を注意事項として案内するよう推奨している。 1. 請求者の同じ以前の支払いのケースと比較し、Boleto ID が合っているか、二重チェックする 2. 未払いの Boleto 請求の中から新たに Boleto で支払いをする際に、ウェブサイトにアクセスしないようにする（未払い Boleto の取り扱いは、取引銀行に確認してもらう）。 3. これまでのところは、スマートフォン上で動作する Bolware は確認されていないことから、スマートフォン上で決済を行うのは現時点では安全な方法である。 4. Boleto に代わる別の支払い方法（DDA）の利用を検討する。 5. 予期していないメールの内容を信頼したり、不審なリンクをクリックしたりしない。 6. 必要以上の情報を求めるウェブサイトに注意する。 7. 信頼できる提供者からソフトウェア更新を定期的にダウンロード、インストールする。（自動更新が理想） 8. 信頼できる提供者のアンチウイルスソフトをインスト－ルした上で、動作していること、定期的に更新されていることを確認する。 9. マルウェア検知機能のついたソフトウェアで定期的に PC をスキャンする。 RSA では、今後も Bolware の情勢を監視し、必要に応じて新たな情報を報告する予定である。

(6)



今月の統計レポート  フィッシング攻撃数（月次推移） 2014 年 10 月、AFCC が検知した単月のフィッシング攻撃件数は 34,787 件と、9 月の 24,794 件から 40%増加した。ただし、過去最高記録にあたる前年同期との比較となると、44％減に相当する水準である。一時前年を 48％上回っていた年間累計数は、ここ数ヶ月の減速もあって、6％差まで近づいた。 11 月 28 日の Black Friday の到来を前に、活動が活発化してきたものと思われる。  フィッシング攻撃を受けたブランド数（月次推移） 10 月にフィッシング攻撃を受けたブランドは 217 件と、9 月の 249 件から約 13%減少した。5 回を超える攻撃を受けたブランド数は 111 件(全体比 51%)と、9 月から 3 ポイントほど減少した。なお、初めて攻撃を受けたブランドは 0 件だった。「総攻撃回数が増えた月は、攻撃を受けたブランド数が減り、手ひどく集中攻撃を受けたブランドの比率が上がる」という典型的傾向が、今回は半分（前者だけ）成立している。以前より傾向が複雑化してきているが、要因としては異なる傾向を持つ多様な犯罪集団が台頭してきたなどといった、市場の変化が考えられよう。 62,105 42,364 36,875 29,034 36,883 42,537 52,557 38,992 55,813 42,571 33,145 24,794 34,787 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 265 344 328 336 287 333 319 294 239 260 283 249 217 134 187 ₁₇₇ 170 148 145 171 151 120 118 142 134 ₁₁₁ 0 50 100 150 200 250 300 350 400 10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月攻撃を受けたブランド数月間5回を超える攻撃を受けたブランド数

(7)

 フィッシング攻撃を受けた回数（国別シェア） 10 月も米国の首位は変わらず、むしろ 14 ポイントも前回より増加した。2 位も 4 ヶ月連続となる英国が、7 ヶ月ぶりに 10％の大台に乗せてきた。 7 月に南アフリカに代わってランクインしてきた中国は圏外に去り、南アフリカが再び戻ってきた。その他の顔ぶれは変わらず、占める比率は減少したが、特に目立った変化は見られなかった。圏外の国々は 48 ヵ国から 40 ヵ国に減ったが、占めた比率は 18%で変化はなかった。  フィッシング攻撃を受けたブランド数（国別シェア） 10 月は、前回久しぶりにランクインした中国に代わってインドが再ランクインしたものの、それ以外の顔ぶれに変化はなかった。そのインドは 8％で 3 位となり、それ以外の国々の占めた比率はやや低下したものの、特に目立った変化はなかった。 1%以下の比率を占める国々は、40 ヵ国から 22 ヵ国へ減少し、比率は 45%から 52%へと増加した。米国 22% 英国 9% インド 8% カナダ 4% イタリア 4% その他 22ヵ国 52% 米国 66% 英国 10% オランダ 5% 南アフリカ 5% カナダ 3% その他23ヵ 国 11%

(8)

 フィッシング攻撃の金融機関分類別分布 10 月、大手銀行の利用者を狙った攻撃の比率は、8 月のピークから再び減少基調となり、過去 1 年の最低に迫る水準に低下した。この減少分の多くを引き受けたのは、地方銀行を騙る攻撃で、前月比 4 ポイント増の 27％を占めた。信用金庫を騙る攻撃の比率は 15％と、前月比 2 ポイントの増加に留まった。このチャートは、金融機関に対する攻撃量ではなく、攻撃の際に名前を騙られた金融機関を種類別に分類した攻撃の発生状況を示している。なお、大半のフィッシング攻撃が、地域を限定しない大量のスパム配信によるものであるため、全国規模の大手銀行の顧客がスパムを受信する確率は高くなっている。  フィッシング攻撃のホスト国別分布(月次) 10 月も最も多くのフィッシングをホストした国は米国だった。比率は、9 月とほとんど変わらず、今年の平均的な水準である。しかし、1%以上を占める国々の数は 13 ヵ国と、これまでになく多かった。前回、ウクライナとロシアと入れ替わりで再ランクインしたイタリアとトルコが復帰した。キプロスが 4 位、アルゼンチンが 6 位に入るなど、新顔が上位に食い込んできたのも目を惹く一方で、 3 ヶ月連続で 2 位に入った香港が 10 位に後退するなど順位の変動も大きかった。 10 月は、全体の 18%を 1%未満の 59 ヵ国で分け合っている（9 月は 25%を 60 ヵ国で分け合っていた）。 ※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類である。 57% 71% 63% 62% 68% 61% _58% 53% 55% 59% 71% 60% _54% 28% 21% _32% 22% 5% 30% _32% 34% 32% 36% 18% 27% 31% 15% 8% 5% 16% 28% 9% 11% 13% 13% 5% 12% 13% 15% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月米国大手銀行米国地方銀行米国信用金庫 米国 34% ドイツ 9% 英国 6% キプロス 5% オランダ 4% アルゼンチン 4% イタリア 4% フランス 4% トルコ 3% 香港 3% ロシア 3% カナダ 2% ウクライナ 2% その他59ヵ国 18%

(9)

2014 年 10 月、フィッシング対策協議会に報告が寄せられたフィッシング報告件数は 648 件。9 月の 652 件から 4 件減少した。同協議会によれば、フィッシングサイト数は横ばいながら、オンラインゲーム（スクウェア・エニックスのドラゴンクエスト X）や金融機関（三菱東京 UFJ 銀行）を騙るフィッシングサイトが確認されている。この 9 月以降、健康保険組合などからの医療費通知を装った不審メールが出回っているという注意喚起が出ている。添付ファイルを開封すると、マルウェアに感染する恐れがあるという。また、11 月 19 日には、全国

20 都道府県

警の合同捜査本部が国内で違法に

プロキシサーバー

を運営

する全国 8 業者へ一斉捜索を行い、不正アクセス禁止法違反などで 6 人を逮捕したと報じられた。

その他には、下記の事案が報道されている。公表日事業者名/サービス名攻撃手法被害状況など 11/5 日本経済新聞社、オークファンはてなブックマークドメイン名ハイジャック JPCERT/CC、JPRSから注意喚起具体的な被害状況などは不明 10/24 大館市のウェブサイト DOS攻撃同市庁内LANからインターネットへの接続に一時障害 10/13 香川県の庁内システム不正アクセスメールマガジン購読者3250人のアドレスが削除された 10/12 熊本県のウェブサイトスパムメール県知事宛などのメールアドレスに大量の不審メール

AFCC NEWS のバックナンバーは Web でご覧いただけます。

http://japan.emc.com/security/rsa-fraud-prevention/rsa-fraudaction.htm#!リソース本ニュースレターに関するお問い合せ先

EMC ジャパン株式会社 RSA 事業本部マーケティング部嶋宮知子

Tel ： (03)6830-3234（直通）、（03）6830-3291（部門代表） eMail ： [email protected] Twitter ： @RSAsecurityJP WEB ： http://japan.emc.com/rsa

3 7 31 26 12 40 18 33 43 42 32 25 15 0 5 10 15 20 25 30 35 40 45 50 10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月

(10)



サイバー犯罪グロッサリー

APT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。

Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。

CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化された公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、またそれに使われる画像。

C&C サーバー Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバー。

Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答えなどの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にするため、複数のドメイン上のサーバーを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザーの設定ファイルを変更して不正なコードを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。

RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。

SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。

Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確認されており、Torpig の別名を持つ。

SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。

Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由で感染し、重要インフラに関わるシステムを麻痺させようとする。

ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホスティングサービス。

Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めている。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。

カーディング不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。

ミュール盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだまされて、知らぬ間に犯罪の片棒を担がされている人を指す。