新しいトロイの木馬Pandemiyaは、Zeusの市場を塗り替えるか

新しいトロイの木馬 Pandemiya は、

Zeus の市場を塗り替えるか

Monthly AFCC NEWS：2014 年 6 月号

（Vol.83）

フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の一 途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監 視を開始し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核である AFCC （

Anti-Fraud Command Center：

今月のトピック

今月は、『PANDEMIYA TROJAN EMERGES AS ALTERNATIVE TO ZEUS-BASED VARIANTS ～急遽出現し た Pandemiya は、Zeus ベースの亜種を駆逐するか～』と題して、Zeus の亜種ではない珍しい、新作のトロイの木馬 を取り上げる。 今月の統計 5 月のフィッシング攻撃件数は 38,992 件と、4 月の 52,554 件から 26%減少した。それでも、ここまでの累計数は 20 万件を突破し、昨年の同時期の累計数を約 5 万件上回っている (「フィッシング攻撃数（月次推移）」参照)。「フィッ シング攻撃を受けたブランド数（月次推移）では、5 回を超える攻撃を受けたブランドの占める比率は 51%と、4 月の 54%から微減した。「フィッシング攻撃を受けたブランド数（月次推移）」の他、「フィッシング攻撃を受けた回数（国別 シェア）」、フィッシング攻撃のホスト国別分布(月次)でも、上位を占める国々の顔ぶれや比率はほとんど変わらなかっ た。

今月のトピック 『PANDEMIYA TROJAN EMERGES AS ALTERNATIVE TO ZEUS-BASED VARIANTS ～急遽出現した Pandemiya は、Zeus ベースの亜種を駆逐するか～』 Pandemiya は、ボットマスターの利用を想定した、感染先コンピュータに対するスパイ活動用のマルウェアであ る。気づかれないように、データ、ログイン情報、ファイルを奪ったり、画面のスクリーンショットを盗撮できるだけ でなく、感染先のブラウザーに偽のページを埋め込んで、より多くの機密情報を抜き取ることもできる。近ごろ目 する他の多くのトロイの木馬と同様に、Pandemiya は自己防衛機能を搭載している。感染先 PC とコントロール パネルの間の通信を暗号化したり、ネットワークアナライザーによる検知を妨害したりする。また、機能の追加や 拡張が容易なモジュール構成を採用している点においても興味深い。

それでも、Pandemiya の最大の特徴は、Citadel、Ice IX、Carberp（それぞれについては、文末のサイバー犯罪 グロッサリーを参照）などと異なり、Zeus のソースコードを基にして開発されていない点にある。つまり、近ごろ珍 しい新種の商用タイプのトロイの木馬だということである。RSA の調査から、Pandmiya の開発者は、ほぼ一年を かけて、25,000 行以上の C 言語プログラムを書いたことがわかっている。

開発した連中も、Pandemiya をトロイの木馬 Zeus シリーズを置き換えるものとして、地下フォーラムで強力に売 り込んでいる。ちなみに、Pandemiya の価格は、現在、コア部分が 1,500 ドル、追加機能のプラグインを含めると 2,500 ドルと、競合製品に比べると高めの設定となっている。  Pandemiya の機能一覧 Pandemiya が標準で用意している機能は、以下の通りである（★付きはプラグインで実現）。  HTTP 形式のフォームデータやログイン情報の窃取 Pandemiya は、ウェブブラウザーのプロセスをフックし、ブラウザーのすべてのトラフィックにアクセスし、 HTTP フ ォー ムデ ー タを窃 取す る こ とが でき る 。よ く知 られ て いる フォー ム グラ バー など と同 様に 、 Pandemiya は、HTTP 通信ベーシック認証ダイアログ（HTTP 401 ページ）におけるユーザー名とパスワー ドの組み合わせを窃取することもできる。  画面キャプチャとファイルの窃取 Pandemiya の最新バージョンは、感染先のシステムの画面ショット撮影機能と、窃取すべきファイルの検索、 圧縮機能をサポートしている。  モジュール構成 Pandemiya は、外部のプラグイン DLL を読み込む機能を持っており、単純に DLL を作って追加するだけで、 新しい機能を追加できる。そのため、マルウェアの利用者や他の開発者は、アプリケーションの機能範囲を 拡張するためにプラグインを開発することができる。  通信の暗号化などの対外部解析保護機能  ボットネットファイルへの署名 他犯罪者からの乗っ取りと当局の内偵対策  タスク制御  ファイルの抜き取り  ローダ（固有のタスクと統計情報）  リバースプロキシー★  FTP スティーラー★  PE 感染機能（自動起動）★  逆 RDP★(テスト段階)  Facebook 拡散機能(テスト段階)★ 図-1: Pandemiya のコントロールパネル

 Pandemiya の感染・インストール方法 Pandemiya においても、典型的な他の商用のトロイの木馬と同様、感染からインストールまでの方法は、攻撃者 に委ねられている。ごく一般的な方法である、ウェブページを開くやいなや、PC に感染する、ドライブバイ攻撃用 ページを生成する攻撃パックが用意されている。 Pandemiya のインストーラは、標的の PC 上で、以下の行為を行う、単体の実行形式ファイル（拡張子.EXE の ファイル）である 1. ファイル名をランダムなものに変更して、Windows 上ですべてのユーザーが利用できるフォルダ に、自らを移動させる。 2. レジストリーのキーを変更し、OS の起動時自動実行フォルダに、自らへのリンク追加する（OS 起 動時に自動的に実行されるようになる）。 3. DLL の名前をランダムに変更し、システムのフォルダに設置する。この DLL には、すべての機能 が含まれている。 4. DLL にリンクするレジストリーの値を付け加える。 最後のステップは、あまり文書化されていない Windows のセキュリティ機能を逆手に取っている。Windows が すべてのプロセスを実行するのに用いる CreateProcess API を使うことで、初期化されるすべての新しいプロセ スに自らを感染させるのである。 画面のハードコピーは、このトロイの木馬が、いかにして、DLL をファイルに書き込み、それを読み込みただちに CreateProcess API という名前のエクスポートされた機能を呼び出すかを示している。 Pandemiya の DLL は Explorer.exe に確実に感染させることができる。DLL が読み込まれる度、言い換えれば、 新しいプロセスが起動される度に、再感染が行われるためである。  通信 通信は、HTTP の GET メソッド、POST メソッドを使ったリクエストを使って行われる。データは単純なアルゴリズ 図-3: Pandemiya が DLL からファイルに書き込みを行っている事例

ムを使って暗号化されているとみられる。Pandemiya は、特別な User-agent、「Hello 2.0」をよく使用しているの が観察されている。  アプリケーションの削除 Pandemiya の削除は、（通常のアプリケーションに比べれば複雑だが、マルウェアとしては）比較的簡単である。 1. あるレジストリーキーを探し、その値から「Application Data」フォルダの中にある.EXE 形式のファイル名を 持つファイルを見つけ、その名前をメモした上で、レジストリー値を削除する。 2. 別のレジストリーキーを探し、前の手順で見つけた.EXE 形式のファイルと同じ名前を持つ値を見つける。そ のファイル名をメモし、値をレジストリーから削除する。 3. システムを再起動する。この段階では、Pandemiya はインストールされたままだが、もはや実行はされな い。 4. 前の手順でメモしたファイルを削除する。これで、Pandemiya から追跡されることはなく、システムは浄化さ れる（はずである）。  まとめ まったくの新顔のトロイの木馬の登場は、地下市場では「よくあること」ではない（参入者がいないということは、あ まり勝算がないと考えられているといえよう）。 それでも、Pandemiya は、近い将来大流行するかもしれない。モジュール構成という設計思想を選択した、 Pandemiya は DLL プラグインを組み込むだけで機能拡張を容易に実現している。その点が評価される可能性 はないとはいえない。 しかし、やや高めの価格設定やアプリケーションの知名度の低さが流行の妨げになっているのも間違いない。 とりわけ、その価格戦略の成否は、時のみぞ知るというところである。 RSA では、その行く末に注目している。 図-3: Pandemiya が用いる User-Agent

今月の統計レポート ◆ フィッシング攻撃数（月次推移） 2014 年 5 月、AFCC が検知した単月のフィッシング攻撃件数は 38,992 件と、4 月の 52,554 件から 26%減 少した。これは、前年同期比 5％増にあたる。米国における納税シーズンが終わったことで、攻撃件数がよく見ら れるレベルに落ち着きを見せたものと、RSA では考えている。 ◆ フィッシング攻撃を受けたブランド数（月次推移） 5 月にフィッシング攻撃を受けたブランドは 294 件と、3 月の 319 件に比べて約 8%減少した。5 回を超える攻 撃を受けたブランドの占める比率は 51%と、4 月の 54%から微減した。 「総攻撃回数が減少した月は、攻撃を受けたブランド数が増えて、手ひどく集中攻撃を受けたブランドの比率 が減る」という、一般的な傾向に反して、総攻撃回数が減少する一方で、攻撃先が分散することはなかった。 なお、初めて攻撃を受けたブランドはなかった。 36,966 35,831 45,232 33,861 46,119 62,105 42,364 36,875 29,034 36,883 42,537 52,557 38,992 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月 5月 351 ₃₄₁ 337 322 304 265 344 328 336 287 333 319 294 182 ₁₇₄ 162 _{149 152} 134 187 ₁₇₇ 170 148 145 171 151 0 50 100 150 200 250 300 350 400 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月 5月

◆ フィッシング攻撃を受けた回数（国別シェア） 5 月の特徴は、4 月に続いてランキングに大きな変 化がなかった、という点にある。1 位、2 位の米英は もちろん、3 位のオランダ以下、すべて、顔ぶれも順 位を変わらなかった。 首 位を 占めた米 国ブラ ンド に対す る攻撃 の比率 73%は、3 月の 76%から 3 ポイント減少した。その一 方で、2 位の英国が 2 ポイント増の 6%となった。 なお、圏外の 43 ヵ国で残りの 13%を分け合っている （4 月は、12%を 50 ヵ国で分け合った）。 ◆ フィッシング攻撃を受けたブランド数（国別シェア） 5 月に攻撃を受けた米国ブランドの占有比率は全体 の 30％と、4 月に比べて 3 ポイント増加した。2 位の英国、3 位のインドは、それぞれ、1 ポイント増の 10%、1 ポ イント増の 7%と、こちらも、上位 3 ヵ国の顔ぶれは変わらず、比率は 5 ポイント増となった。 4 位以下のカナダとイタリアの順位が入れ替わったが、比率はほとんど変わっていない。ランクインした国で占め る比率は、4 月の 53%に近い 55%だった。1%以下の比率を占める国々は、43 ヵ国で 45%を分け合っている（4 月は 47%を 50 ヵ国で分け合った）。 米国 30% 英国 10% インド 7% カナダ 4% イタリア 4% その他 43ヵ国 45% 米国 73% 英国 6% オランダ 3% 南アフリカ 3% フランス 2% その他43ヵ 国 13%

◆ フィッシング攻撃の金融機関分類別分布 5 月、大手銀行の利用者を狙った攻撃の比率は、2 月から 3 ヶ月連続で減少し、過去一年で最低値を記録した。 その結果、2 月に 5％まで減少した地方銀行に対する攻撃が、過去一年の最大水準にあたる 34％まで増加し、 過去 12 ヶ月の最高値を記録した。 このチャートが反映しているのは、金融機関に対する攻撃量ではなく、狙われた金融機関を種類別に分類した攻 撃の発生状況である。また、大半のフィッシング攻撃が、地域を限定しないメーリングリストを利用した大量のス パム配信によるものであることから、全国に幅広く分散している大手銀行の顧客がスパムを受信する確率は高く なる。この全体的な傾向は、2010 年 3 月、それまでの地方銀行への攻撃が大手銀行に向けられるようになって 以来、変わらずに続いている。 ◆ フィッシング攻撃のホスト国別分布(月次) 5 月も最も多くのフィッシングをホストした国は米 国だった。しかし、その占めた比率は 42%。前月 比で 7 ポイント増え、6 ヶ月ぶりに 40％台に戻し た。 トルコが戻ってきた以外の顔ぶれは、前月と変 わっていない。順位はかなり入れ替わっているが、 比率はほとんど変わっていない。ランクイン国は前 月比で 2 ヵ国減ったが、昨年前半の 6 ヵ国程度に 比べるとまだ多い状態が続いている。 4 月は、全体の 26%を 1%未満の 67 ヵ国で分け 合っている（3 月は、23%を 79 ヵ国で分け合ってい た）。 ※ いずれもフィッシングサイトをホストした ISP やフィッシン グドメインを管理していた登録事業者の所在地別分類である。 73% 76% 74% 66% _60% 57% 71% 63% 62% 68% 61% _58% 53% 19% 13% 15% 23% 26% _28% 21% _32% 22% 5% 30% _32% 34% 8% _{11% 11% 11% 14%} 15% 8% 5% 16% 28% 9% 11% 13% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月 5月 米国大手銀行 米国地方銀行 米国信用金庫 米国 42% ドイツ 7% 英国 4% カナダ 4% ロシア 3% イタリア 3% トルコ 3% オランダ 3% フランス 3% その他67ヵ国 26%

◆ 日本でホストされたフィッシングサイト（月次推移） 2014 年 4 月、日本でホストされたフィッシングサイト数は 33 件と、4 月の 18 件から 15 件減少した。 6 月 11 日、警察の合同捜査本部が、被害総額 6 億円以上に上る不正送金事案の容疑者 13 人を逮捕したと発 表した。同 13 日には、ゆうちょ銀行を装ったフィッシング攻撃を通じて、楽天市場に出店していた雑貨販売業者 の口座から現金を不正に引き出した男が逮捕されたと報じられている。 5 月下旬に、相次いで発覚した複数事業者のサイトにおける不正アクセス事案は、コンテンツ配信ネットワーク事 業者 CDNetworks のセキュリティ侵害に起因していることが明らかになった。複数の事業者のサイトのコンテン ツが改変され、ドライブ・バイ・ダウンロード型のマルウェアの配布元に転送させられたり、ドライバソフトウェアや 更新用ファイルをマルウェアにすり替えられていた。 他にも、LINE のアカウントを乗っ取り、その友人、家族に対して、WebMoney を要求する不正アクセス事案も 300 件以上発生している。ニコニコ動画や Ameba における不正ログイン被害も報じられている。 一方、法人を標的とした事案も発生している。警視庁は、6 月 4 日、約 30 カ所に上る政府機関がサイバー攻撃を 受けたと発表した。重要な情報の流出は確認されていないということながら、100 台以上のパソコンで感染が確 認されたという。 こうした報道からもわかるとおり、消費者から企業、政府機関を狙った多種多様サイバー攻撃が、日々企図・実 行されている。それは、情報セキュリティ対策の改善・進化に向けた取り組みに終わりがないということでもある。 ※この報告は、AFCC が把握している攻撃の数です。

AFCC NEWS のバックナンバーは Web でご覧いただけます。

http://japan.emc.com/security/rsa-identity-protection-and-verification/rsa-fraudaction.htm#!リソース 本ニュースレターに関するお問い合せ先

EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子

Tel ： (03)6830-3234（直通）、（03）6830-3291（部門代表） eMail ： [email protected] 11 1 39 11 15 3 7 31 26 12 40 18 33 0 5 10 15 20 25 30 35 40 45 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月 5月



APT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。

Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。

Carberp Syscron とも呼ばれるトロイの木馬 Carberp は、2 年以上の期間、地下市場で販売されてきた準プライベートのマルウェア。銀行口座の 乗っ取りや電信送金詐欺のための認証情報の窃取を目的として PC に感染する。2012 年 12 月、商業マルウェアの現場に復帰し、完全 キットが最高 40,000 米ドルの 価格でアンダーグラウンド・フォーラムで販売された。この価格は Zeus や SpyEye のキットの最高提示価 格の 4 倍に相当する。

CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。

C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。

Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定_{→閉鎖を困難にす} るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。

ICE IX アイスナインは 2012 年に開発された Zeus の亜種で、稚拙なプログラミングではあるものの Zeus を運用しているボットマスターからのサ ポート・サービ スの需要が大きく、地下市場で勢いをつけた。現在、Ice IX の新規販売は中断している。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。

RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。

SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。

Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。

SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。

Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。

ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。

Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。

ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター･ブート･レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。 最近はサービスとしても提供されている。