2014年のサイバー犯罪を支えた地下市場の成長、稼げる標的の開拓力、ツール開発力 ～2014年のサイバー犯罪を振り返る～

1

2014 年のサイバー犯罪を支えた

地下市場の成長、稼げる標的の開拓力、ツール開発力

～

2014 年のサイバー犯罪を振り返る～

Monthly AFCC NEWS：2015

年

1

月号

_{（Vol. 90）}

フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の一 途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監 視を開始し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核である AFCC （

Anti-Fraud Command Center：不正対策指令センター）では、200 名以上のフロード・アナリストが 24 時間 365

日体制で数カ国語を駆使し、対策に従事しています。AFCC NEWS は、フィッシングやオンライン犯罪関連ニュース からトピックを厳選し統計情報と共に AFCC がまとめたものです。（2015 年 1 月 28 日発行）

今月のトピック

今月は、『2014 CYBERCRIME ROUNDUP ～2014 年のサイバー犯罪を振り返る～』と題して、RSA が得意 とするマルウェア分析、地下市場や犯罪組織の行動観測ほか、大きな被害をもたらしたサイバー脅威の事例を 紹介する。 今月の統計 12 月のフィッシング攻撃件数は、46,747 件と、11 月の 61,278 件から 24%減少した。しかし、これは、前年同 月と比べても約 27%増、12 月としては過去最多にあたる攻撃件数であった。この結果、2014 年の年間累計攻 撃件数は昨年の総計を 5 万件あまり上回り、過去最多を更新した(「フィッシング攻撃数（月次推移）」参照)。フィッ シング攻撃を受けたブランド数、5 回を超える攻撃を受けた比率ともに、11 月の水準には及ばないものの、特定 ブランドに対する集中攻撃の度合いは過去最高水準で推移している(フィッシング攻撃を受けたブランド数（月次 推移）参照)。「フィッシング攻撃を受けた回数（国別シェア）」では、米国とカナダの北米 2 カ国が全体の 4 分の 3 の攻撃を受ける結果となった。 日本でホストされたフィッシングサイト数は 45 件で、11 月の 30 件、10 月の 15 件から連続的に増えている。



今月の特集： 「2014 CYBERCRIME ROUNDUP ～2014 年のサイバー犯罪を振り返る～」  最も目立ったのは POS を狙った攻撃 2014 年、サイバー犯罪ニュースの見出しを最も賑わせたの は、POS システムからの何百万人分ものクレジットカード情報 の漏えいだった。 POS システムを狙った攻撃の大半で使われた脅威の主役 はマルウェアだったが、これは、2014 年に入って広まったもの だ。犯罪者にとって、個人からクレジットカード情報や銀行口座 などの情報を入手するのは容易なのだが、小売店に対する攻 撃は成果の面ではるかに魅力的で、とりわけ小規模な小売店 は容易に攻略できることに、犯罪者が気付き始めた。 POS に対する一般的な攻撃/感染方法は、ベンダーが機器 の定期保守のために用意している遠隔アクセス接続 図-1: POS マルウェア「Chewbacca」の

(RDP/VNC 経由)を利用するものである。ほとんどの POS マルウェア攻撃者は、実行中のプロセスを調べ上げ、 (たいていは正規表現を使った)パターンマッチングを行うことで、プロセスを実行しているメモリ上からクレジット カード情報を特定している。  2014 年の RSA レポートで取り上げられたランサムウェア  Chewbacca 一般的なキーロガーと、標的の POS システム専用に作られたメモリスキャナーという、2 つの独立したデータ窃 取機構を持つプライベート型(販売用ではなく自らの犯行専用)のトロイの木馬。  Backoff POS POS のキーボードや磁気カード読み取り機から情報を窃取する機能を持っており、7 月から 8 月にかけて多く見 られた。  LusyPOS C&C サーバーを保護するために、TOR ネットワークを利用して、CC の磁気ストライプ情報を収集するのが特 徴。  帰ってきたランサムウェア ランサムウェアは、現在多くのコンピューターユーザーにとって、ますます巨大化し続ける脅威となっている。 中でも特に目立っていた CryptoLocker は、2013 年 9 月の登場以来、25 万ものユーザーが感染したと見られて いる。ランサムウェアは、平均して 300 ドルを個々の被害者に対して要求していることから、犯罪者たちは、直近 の 3 カ月間も 2,800 万ドルもの金額をせしめたとみられている。なお、第 3 四半期には CryptoLocker やそれに 類するランサムウェアに対するバージョンアップが行われた模様。  モバイルランサムウェア 2014 年に入って、ランサムウェアの脅威はモバイル端末にも広まり始めた。モバイル端末を狙うランサムウェ アも、PC の場合と同様にモバイル端末の一部もしくは全体にアクセスできないようにし、“身代金”を要求する。 FBI などの政府機関を装って、性的画像の閲覧など後ろ暗い行為を指摘し、電話や個人情報に対するアクセス を回復したければ罰金を支払 うよう、要求するのである。  進化するモバイル・マルウェ ア モバイルと BYOD への流れ が続く中、モバイルを狙う脅威 は 2014 年も際だった伸びを続 けた。モバイルを狙うマルウェ アや危険なアプリの総量は 200 万に達し、さらに毎月 17 万種ほど増えている。なお、第 2 四半期時点において、既存 のモバイル・マルウェアの 98％ は、モバイル端末市場の 85％ を占める Android 端末のユー ザーを狙ったものだった。 図-2: MoneyPak を介して“身代金”を支払うように要求する通知

 2014 年の RSA レポートで取り上げたモバイル・マルウェア  モバイルボット iBanking 2 月にソースコードが漏えいし、その後 3 月にかけて、先進的な機能や解析ツール対策機能に対応した新バー ジョンが確認されている。 SMS ハイジャック機能は、銀行利用者を狙うトロイの木馬と組み合わせて利用するように設計されたもの。 初期のこの手のマルウェアとは異なり、感染先端末のインストール済みアプリの調査、端末からの画像の収集、 詳細な位置情報の収集といった新機能にも対応している。さらに、標的とする機関の拡大も行われており、最近 の調査によると、iBanking が攻略対象としている機関は 30 に達しようとしている。

 Mobile BOT APK

5 月に、ボット型マルウェアの Android モバイルアプリケーションパッケージ(APK)へのアップデートが、確認され た。このアプリケーションは、東欧の銀行のモバイルオンライン利用者向けのトークン生成ツールを装っている。 新機能の中には、標的の電話から盗んだ情報を SQLite テーブルに保存する機能が含まれている。  成長を続ける地下市場 地下市場は成長を続けており、犯罪者にとってはますます容易に外部サービスを利用できるようになってきて いる。こうした変化は、この一年の間に、以下のような特筆すべき傾向をもたらしている。  特定の通貨に関するフォーラムの盛り上がり  LessPay と呼ばれる新しい支払い決済システムの普及  クレデンシャル取得コストの引き下げ下げに対する需要と供給  CC 情報ショップに対応したモバイルアプリの出現  2014 年の RSA レポートで取り上げられた金融犯罪用ツール  コミュニティ通貨 地下のサイバー犯罪コミュニティにフォーラム管理者が監督する独自通貨 (MUSD、UAPS、United Payment System など)が出現したことで、会員はコ ミュニティ内での取引を Perfect Money、BitCoin を使った従来の決済よりも、 安全に行えるようになった。また、いくつかの事案では、多くの異なるフォーラ ムが同じ通貨(United Payment System)を共有している例が見られ、こうし たプラットフォームの利用拡大傾向が確認されている。  「LessPay eWallet」認知を高める 新しい電子決済サービス LessPay が、地下の犯罪市場で人気を得た。2013 年に初めて確認された LessPay は、2014 年を通じて、匿名性、安全性、口 座保護(閉鎖されないことを担保する)、登録手順の容易さ(身元確認を求めら れない)といった点が評価されたとみられる。口座に対する資金の預け入れ は、通貨交換サービスを通じて行われる。オンライン決済を容易にする API、 ショッピングカートインターフェイス(SCI)と商取引用口座が提供されることが、犯罪者にとって LessPay の魅力を 最も高めている。  クレジットカード情報ショップ - 需要と供給の世界 2014 年に POS システムから大量のクレジットカード情報が盗まれたことで、地下市場におけるクレジットカー ド情報の価格は下落した。加えて、FaaS(不正取引サービス)が使いやすくなったことで、クレジットカード情報 ショップ業界の競争は激しさを増している。今までにはなかったことだが、クレジットカード情報ショップ運営者が 人目を憚からずに有名 SNS で広告活動に勤しむようになってきた。地下クレジットカード情報ショップでの価格下

図-4: Mobile BOT APK の 偽トークン生成ツール

落は際立っている。従来は、1 件あたり 5 ドルから 10 ドル程度(ハイクラスなカードであればそれ以上)で販売さ れていた盗難クレジットカード情報だが、最近では 1 ドル程度の値しか付かない。供給が少ない特定地域のもの を取り扱うことで、価格を維持しようという姿勢が見受けられる背景には、こうした事情があるものと考えられる。 クレジットカード情報ショップは、常に需要と供給のバランスに影響を受けやすく、数週間のうちに在庫が鮮度 を失う(購入した犯罪者が不正を行う前に、カード保持者が盗難に気づいて利用停止したり、他の犯罪者に先に 使われたり売りに出されたりする)という問題を内在している。RSA は、近ごろ、あるクレジットカード情報ショップ で、米国、南米の銀行利用者のクレジットカード情報が大量に売りに出されているのを発見した。7 月-8 月の時 点で売りに出されていた 5,440 件の南米銀行のカードは、8 月の終わりには 520 枚を残すのみだった(一日平均 117 件が売れた計算)。9 月 4 日に更新された在庫データベースを南米の銀行識別番号に限定して検索したとこ ろ、全体 2,000 件のうちわずか 67 件であることが判明した。  地域を限定した犯罪 特定の地理的領域と特定の言語に標的を定めたサイバー犯罪は増加傾向にある脅威の一つである。特に、 南米諸国は、2014 年を通じて金融犯罪の増大に直面しており、攻撃手法の洗練度も増している。  ブラジルの人気の決済手法「Boleto」を狙った金融犯罪 Boleto 利用者を狙う Bolware と呼ばれる一連のマルウェアは、数十億ドル相当の被害をもたらしたとみられてい る。しかも、Bolware や Boleto を狙った犯罪は進化を続けている。Onyx と呼ばれる Bolware が 10 月に確認さ れた他、マルウェアを使わない DNS ポイゾニングを使った攻撃も確認されている。  ブラジルのクレジットカード情報ショップのモバイルアプリ 特定のクレジットカード情報ショップに限定対応したユニークなモバイルアプリが見つかっている。  フィッシング攻撃用のコントロールパネル スペイン及び南米のスペイン語圏の標的を主に狙ったシステムが 11 月に発見された。このコントロールパネルを 使うことで、複数の標的に対する多くのフィッシング攻撃を自動実行できる。  正規の金融ポータルを悪用する犯罪者 金融機関やそのシステムの脆弱性、弱点の発見に熱心な犯罪者もいる。彼らの活動によって、不正取引や利 用者の情報漏えいなど、大きな被害を受けたサービスやポータルサイトもあった。  2014 年の RSA レポートで取り上げた、不正利用された金融ポータルサイト  Voxis Team 盗んだクレジットカードデータを使ったオンライン取引や不正購買に利用するマーチャント ID の偽造・窃取、 ミュール口座への送金といった不正行為を自動実行する現金化プラットフォーム。この不正プラットフォームには、 コントロールパネルが含まれており、不正の発覚を遅らせるために、購買額や預金転送の個々の量をランダム に調整するアルゴリズムを採用している。  金融データアグリゲータ RSA は 12 月にも正規の金融データアグリゲーション(個人資産管理)サービスを使い、攻撃目標と見込む個人の 金融プロフィールや残高情報、オンライン取引の履歴パターンの情報を得る犯罪者についてレポートしている。

 今月の統計レポート

 フィッシング攻撃数（月次推移） 2014 年 12 月、AFCC が検知した単月のフィッシング攻撃件数は 46,747 件と、11 月の 61,278 件から 24% 減少した。しかし、これは、前年同月比 27％増にあたると同時に、12 月一カ月の攻撃件数としては過去最多に あたる。この結果、2014 年の年間攻撃件数累計は、5 万件あまりで過去最多を更新した。  フィッシング攻撃を受けたブランド数（月次推移） 12 月にフィッシング攻撃を受けたブランドは 214 件と、11 月の 200 件から約 7%増加したが、なお攻撃対象が 絞り込まれた状態は変わらない。また、5 回を超える攻撃を受けたブランド数は 124 件(全体比 59%)と、11 月と 同じ高水準で推移した。「総攻撃回数が多い月は、攻撃を受けたブランド数が少なく、手ひどく集中攻撃を受けた ブランドの比率が高い」という典型的傾向が、今月も顕著に表れた。 36,875 29,034 36,883 42,537 52,557 38,992 55,813 42,571 33,145 24,794 34,787 61,278 46,747 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 328 336 287 333 319 294 239 260 283 249 217 200 214 177 ₁₇₀ 148 145 171 151 120 118 142 134 ₁₁₁ 117 124 0 50 100 150 200 250 300 350 400 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 攻撃を受けたブランド数 月間5回を超える攻撃を受けたブランド数

 フィッシング攻撃を受けた回数（国別シェア） 12 月も米国の首位は変わらなかったが、占めた 比率は 11 月から 10 ポイント下がった(米国への集中 が低下した)。とはいえ、64％という水準は、過去の 水準と比べても高い。 ランクインした国の数は、11 月と変わらず 9 カ国 だった。8 カ月連続で 5 ヵ国と少ない状態が続いたが、 米国以外への攻撃は多様化傾向が続いている(た だし、比率 1%以下の国々は大幅に減少した)。 目立った点は、カナダが英国に代わって 2 位を占 めたこと。3 月から 7 月まで圏外だったが、8 月以降 じわじわと攻撃が増えている。  フィッシング攻撃の金融機関分類別分布 12 月、大手銀行の利用者を狙った攻撃の比率は、前月比 8 ポイント増の 58%。2010 年 2 月以来の低水準 だった 11 月から反転増となった。反面、地方銀行を騙った攻撃は 5 ポイント、信用金庫は 3 ポイント、それぞれ 占めた比率は減少した。 このチャートは、金融機関に対する攻撃量ではなく、攻撃の際に名前を騙られた金融機関を種類別に分類し た攻撃の発生状況を示している。なお、大半のフィッシング攻撃が、地域を限定しない大量のスパム配信による ものであるため、全国規模の大手銀行の顧客がスパムを受信する確率は高くなっている。 63% 62% 68% 61% _58% 53% 55% 59% 71% 60% _54% 50% 58% 32% 22% _5% 30% 32% 34% 32% 36% 18% 27% 31% 30% 25% 5% 16% 28% 9% 11% _{13% 13%} 5% 12% 13% 15% _20% 17% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 米国大手銀行 米国地方銀行 米国信用金庫 米国 64% カナダ 12% 英国 8% インド 4% スペイン 3% 南アフリカ 3% 中国 1% メキシコ 1% オランダ 1% その他18ヵ 国 2%

 フィッシング攻撃のホスト国別分布(月次) 12 月も最も多くのフィッシングをホストした国は 米国だった。比率は 48％と、11 月より 2 ポイント減 少したものの、それでも 2014 年の年間平均 37％ を大きく上回っている。 11 月に突然 2 位にランクインしたアルゼンチン、 カナダ、コロンビア、オランダが圏外に去る一方で、 香港、トルコ、ロシア、チェコ、インドネシアがランク インするなど、顔ぶれの変化は激しかった。 12 月は、全体の 22%を 1%未満の 62 カ国で分 け合っている（11 月は、全体の 23%を 1%未満の 60 カ国で分け合っていた）。 ※ いずれもフィッシングサイトをホストした ISP やフィッシン グドメインを管理していた登録事業者の所在地別分類である。  日本でホストされたフィッシングサイト（月次推移） 2014 年 12 月、日本でホストされたフィッシングサイト数は 45 件と、11 月の 30 件からさらに増えた。 2014 年 12 月、フィッシング対策協議会に報告が寄せられたフィッシング報告件数は 503 件だった。同協議会 によれば、12 月は 11 月に比較して、フィッシング報告件数は 48 件減少し、フィッシング URL 件数は 16 件 減少したという。ブランド別では、引き続き、金融機関を騙る事案が減少し、オンラインゲームを騙る事案が全体 の 9 割以上を占めているという。 昨年 12 月 24 日、株式会社キューデンインフォコムは、インターネットリサーチサービスのサイトに対する不正 ログインの結果、モニターのポイントが不正交換されたと発表した(会員情報の閲覧形跡はないが、291 件のポイ ントが不正交換されたとのこと)。 年明け早々の 1 月 9 日には、So-net がメールサービスに不正ログインが行われたと発表(メール内容などの 情報漏えいは確認されていないとのこと)。また、同日、Mixi からもポイント交換サービスとアンケートサイトにお いて、不正ログインが行われたと発表があった。攻撃者は 1,960 万回の不正ログイン企図の結果、4,536 回の不 31 26 12 40 18 33 43 ₄₂ 32 25 15 30 45 0 5 10 15 20 25 30 35 40 45 50 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 米国 48% 英国 7% ドイツ 5% 香港 3% トルコ 3% ブラジル 3% ロシア 2% チェコ 2% フランス 2% インドネシア 2% その他62ヵ国 22%

正ログインに成功した。この結果、アカウント情報の不正閲覧の可能性ならびに 322 件のポイント不正利用によ る 435,025 円の被害が発生しているという。 1 月 16 日には、朝日新聞社の社内 PC17 台がマルウェアに感染し、情報の流出が発生していると発表された (11 月下旬から始まったと見られているが、どのような情報が流出したかは開示されていない)。さらに、1 月 19 日には、首都大学東京が、学内に昨年 8 月設置した NAS から、教職員、入学しなかった合格者を含む学生など 約 5 万 1000 人の個人情報が流出した可能性があると発表した。被害に遭った NAS に格納されていたデータの 多くがパスワードなどによる保護が行われていなかったという。

AFCC NEWS のバックナンバーは Web でご覧いただけます。

http://japan.emc.com/security/rsa-fraud-prevention/rsa-fraudaction.htm#!リソース 本ニュースレターに関するお問い合せ先

EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子

Tel ： (03)6830-3234（直通）、（03）6830-3291（部門代表） eMail ： [email protected] Twitter ： @RSAsecurityJP WEB ： http://japan.emc.com/rsa



サイバー犯罪グロッサリー

APT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。

Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。

CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。

C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。

Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。

RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。

SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。

Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。

SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。

Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。

ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。

Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター･ブート･レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。 最近はサービスとしても提供されている。