フィッシングという言葉が 1996 年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途です。 RSA は 2003 年よりオンライン犯罪対策サービス「RSA FraudAction」を提供しており(国内提供は 2006 年から)、 トロイの木馬などによるマルウェア攻撃を検知し、フィッシングサイトの閉鎖を行っています。FraudAction の中核であ る AFCC(Anti-Fraud Command Center
:不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時
間 365 日体制で数カ国語を駆使し、マルウェア解析、犯罪手法の解明に従事しています。Quarterly AFCC NEWS は、AFCC が定期的に公開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報、統計情報をまと めたものです。(2017 年第 3 四半期版 : 2017 年 12 月 4 日発行) 今号のトピック 1. 銀行利用者を狙うトロイの木馬「TrickBot」の爆発的流行 前回のレポートで忽然とランキング入りしたトロイの木馬「TrickBot」を紹介します。TrickBot は、銀行利用者の PC に感染し、不正送金など甚大な被害をもたらすトロイの木馬で、爆発的に拡散しています。それは Zeus や Citadel といったこの分野における殿堂入り級のマルウェアを市場から一掃する勢いです。 2. マルウェアの脅威水準の急激な上昇 2017 年第 3 四半期に最も目を惹いた統計情報は、マルウェアによる攻撃量の爆発的な増加です。こうした攻 撃量の増加が、新顔の登場と機を合わせて発生しているのも珍しい現象です。 一方、驚異的だった昨年よりは穏当な印象だったフィッシング攻撃は、月を追う毎に増加し、一昨年を上回る ペースとなっています。9 月に日本で確認されたフィッシングサイトの数は前月比 10 倍に達しました。 1. 銀行利用者を狙うトロイの木馬「TrickBot」の爆発的流行 はじめに 銀行利用者を狙うトロイの木馬「TrickBot」は、2016 年後半から徐々に流行り始めたマルウェアで、振る舞い、 機能、コード設計の類似点の多さから Dyreza の後継と考えられている。巷間で見受けられるようになってからも、 すでに数度のアップグレードが行われており、メール情報の窃取や Microsoft Outlook からの情報窃取などの先 進的な機能が追加された。TrickBot の主な特徴は以下の通りである。 モジュール構造の採用 SSL 暗号通信の採用 窃取した情報に対する高度なフィルタリング機能(URL やエラーメッセージなどを条件に指定可能) ブラウザーがキャッシュしたログイン情報の窃取 メール情報の窃取 ウェブインジェクション攻撃THREAT
TrickBot の脅威 RSA が注目している TrickBot の脅威の一つに、ウェブインジェクション攻撃機能がある。 ウェブインジェクション攻撃 ウェブインジェクションとは、標的のブラウザーが正規のサイトから取得したデータに、(悪意のある)コードを注 入したものと差し替えることで、本来のサイトが意図したものとは異なる情報を表示する攻撃手法である。通常は、 金融機関などの正規のログイン画面に模した画面を表示させ、標的に個人情報(ユーザーID、パスワード、生年 月日、クレジットカード番号など)を入力させ、ドロップと呼ばれる収集サイトに送信する。また、そのまま時間稼ぎ のページを強制表示し、背後で盗んだ個人情報でサイトにログインし、預金を不正に送金することも珍しくない。 TrickBot の場合は、C&C サーバーにあらかじめ用意された偽りのページを自らが対象機器に感染する際に 取得し、ユーザーが特定の URL にアクセスすると、そのページを表示する。その際、動的にコンテンツを操作す ることで、(例えば)銀行が定めている標準的な手続きの中では必要とされない追加情報(例えば、母親の旧姓や 銀行の口座番号)を、標的に入力させようとする。TrickBot が Dyreza の後継と目されている理由の一つは、この ウェブインジェクション攻撃の実現方法が酷似している点にある。 TrickBot の感染手口 現在、最も幅広く利用されている OS である Windows 7 64 ビット版の環境で、TrickBot がどのように感染、拡 大するかを分析した結果が以下である。 配布方法 TrickBot のペイロード(感染媒体)は、通常、添付ファイル付きのスパムメールか、マルバタイジング(マルウェア の感染サイトに誘導する悪質なバナー広告)である。Dyreza 同様、TrickBot の C&C インフラは、乗っ取られた ルーター上に展開されており、通信に際して複数の C&C ポイントを利用する亜種もある。
感染の手口
標 的 が マ ル ウ ェ ア フ ァ イ ル を 実 行 す る と 、 TrickBot は 、 い く つ か の 設 定 フ ァ イ ル を 感 染 し た PC の 「%APPDATA%¥Roaming¥winapp¥」ディレクトリにコピーする( %APPDATA%は、Windows の環境変数で、通 常は C:¥Documents and Settings¥[ユーザー名]¥Application Data¥を指す)。
検知耐性の向上
初期のバージョンでは、タスクスケジューラー上で自らを”Bot”と名乗っていたため、感染していることを検知し やすかったが、最近のより新しい亜種では、“services update”というもっともらしい名乗り方をするようになった。
TrickBot のモジュール構造
最初の段階では、フォルダ「%APPDATA%¥Roaming¥winapp¥Modules¥」に、暗号化された DLL(Dynamic Link Library)モジュール(systeminfo64 もしくは systeminfo32。いずれになるかは、OS が 64 ビット版か、32 ビット版かによる)とその設定ファイルがダウンロードされる。これらのファイルは、感染した機器の OS のバージョ ン、ユーザー名、ハードウェアなど感染した端末の情報を収集する。
その後、もう一つの暗号化された DLL モジュールとその設定ファイル(XML 形式)がダウンロードされる。 それが、injectDll64 あるいは injectDll32 である。injectDll64 モジュールはウェブインジェクション用のモジュール で、マルウェアによってアクティブなブラウザーのプロセスに悪意のあるコードを注入し、重要な個人情報を窃取 するために使われる。 ウェブインジェクション用モジュールの構成や働き モジュールの設定ファイルは、フォルダ「%APPDATA%¥Roaming¥winapp¥Modules¥injectDll64_configs¥」 に、いずれも暗号化された状態で配置されることが確認されている。各ファイルには、あらかじめ定義されたトリ ガー(データの窃取やカスタマイズしたウェブページに対する感染など特定の振る舞いの引き金となる URL パ ターン)や C&C の URL 一覧が含まれており、窃取されたデータの収集や、感染機器に対して TrickBot などが横 取りして改ざんしたサーバーレスポンスを送ったりする際に使われる。いずれも XML ファイルで、以下の 3 種類 が確認されている。 dpost……基本情報の窃取・送信 保存されているパスワードやクッキーなどの一般的なデータをブラウザーから収集し、自らに設定されている 通信ポイントに対して送信する dinj……偽りのページの生成・表示 ユーザーが、トリガーとして指定された振る舞いを実行(特定の URL にアクセス)すると、(アクセスした正規の サイトとの間の通信から)HTTP ヘッダやクッキー、HTML ソースコードなどのデータを横取りし、それらのデー タを反映した偽りのページを生成し、標的のブラウザーに表示させる。RSA では、TrickBot が偽りのページに コンテンツを動的に操作するための JavaScript を追加することまで確認している。 sinj……インジェクション実行中の通信の監視 dinj と同様に、トリガーに指定された振る舞いが識別されると、 C&C から受けたコマンドに基づいて、ウェブ インジェクションによって追加されたトラフィックを監視する。 まとめと対策 TrickBot の感染を予防するには、ユーザーが添付ファイル付きのメールやバナー広告に対する慎重さを忘れ ないことが何よりも重要である。さらに、OS やブラウザーのセキュリティ更新の励行やセキュリティソフトの定義 ファイルの更新も(万能とはいえないが)、リスクの軽減、脅威の緩和には欠かせない。オンラインサービス事業者 にとって、こうした点に関する利用者に対する教育は、やはり、サイバー攻撃被害緩和のための最優先事項とい うことになる。 特に、最近はあからさまに怪しい内容は減り、むしろもっともらしい内容で誘うものが増えていることを含めて、 こうした脅威の現状を、利用者に対して絶えず啓蒙し続ける必要がある。オンラインバンキングサイトなどの場合 は、アクセスの際には、通常表示されないエラーコード 404 や「しばらくお待ちください」のページが表示された場 合には、感染が疑われることを伝えることも重要であろう。
2. 第 3 四半期の統計情報 銀行利用者を狙うトロイの木馬の認知件数(四半期推移) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は、以下の通り大幅に急増した。 2017 年第 2 四半期は前四半期で 6.7 倍に増加したが、第 3 四半期はそこからさらに約 6.7 倍増加した。 ※ 亜種は概ね攻撃者ごと、あるいは攻撃のたびに新たに作成されるため、攻撃の活性度を反映する。 トロイの木馬を使った攻撃に用いられた通信ノード(URL)の認知件数の推移(四半期推移) トロイの木馬の感染、更新、窃取した情報の送信などの目的で用いられた URL の認知件数。こちらも、トロイ の木馬の認知件数と同様の傾向で、前四半期比約 7.3 倍に急増した。 ※ 通常、亜種 1 種に複数の URL が関連づけられているので、亜種の件数を URL の件数が大幅に上回る。 665 272 144 960 6,386 0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 2016-Q3 2016-Q4 2017-Q1 2017-Q2 2017-Q3 1,526 510 200 1,127 8,180 0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 8,000 9,000 2016-Q3 2016-Q4 2017-Q1 2017-Q2 2017-Q3
認知されたトロイの木馬亜種の分類 2017 年第 3 四半期、世界を対象とした攻撃への関与が確認されたトロイの木馬について、RSA AFCC が認 知したものを原種別に分類した結果である。 前四半期、過去 2 年間、一度もランキングに入ったこともなく、突然圧倒的な首位を占めた Trickbot が、27 ポ イント増で 2 四半期連続の トップを占めた(今号のトピッ クを参照)。 2 位は変わらず Mobile Malware だったが、比率は 3 分の 1 に減少した。いった ん姿を消した殿堂入り級の Zeus、Citadel が、わずかな シェアを占めている。 マルウェア攻撃のホスト国別分布(月次) こちらのチャートは大いに荒れた展開となった。調査開始後、初めて米国がトップの座を明け渡した(昨年の第 3 四半期はロシアと同点 1 位)。ロシアが 15 ポイント増の 28%で 1 位となった。米国は 12 ポイント減少し 2 位 に後退し、3 位に入ったフラ ンスも 8 ポイント比率を倍増 させている。 4 位以下も、ドイツ以外 の、ブルガリア、ポーランド、 インド、英国、ルーマニア、 ボスニア・ヘルツェゴビナは す べ て 前 回 、 圏 外 組 で あ る。 Trickbot 93% Mobile Malware 2% Bugat v2 2% Citadel 0.3% Zeus 0.2% その他 3% ロシア 28% 米国 20% フランス 14% ブルガリア 7% ポーランド 3% インド 3% 英国 3% ルーマニア 2% ドイツ 2% ボスニア・ヘルツェゴビナ 2% その他 15%
フィッシング攻撃数(四半期推移) 2017 年第 3 四半期のフィッシング攻撃件数は、134,720 件。前四半期比で 1.3 倍に増加したが、前年同期比 では 3 割減にあたる。年間累計件数も、昨年の 44%に留まっており、前年を下回るのは必至と思わせる推移で ある。ただし、それでも一昨年の同時期比では 10%上回っている。 フィッシング攻撃を受けた回数(国別シェア) 2017 年第 3 四半期、最も多く攻撃を受けたのは、2 四半期連続でカナダだった。しかも、その比率も 24 ポイ ント増加した。2 位の米国は 6 ポイント減少し、その差を 50 ポイントまで広げた。南アフリカに至っては、3 位から 6 位に後退した。 100,510 142,812 125,006 126,797 130,946 144,694 240,520 516,702 201,082 284,367 186,438 101,662 134,720 0 100,000 200,000 300,000 400,000 500,000 600,000 2014-Q3 2014-Q4 2015-Q1 2015-Q2 2015-Q3 2015-Q4 2016-Q1 2016-Q2 2016-Q3 2016-Q4 2017-Q1 2017-Q2 2017-Q3 カナダ 59% 米国 9% インド 7% コロンビア 6% メキシコ 4% ブラジル 3% オランダ 3% ナイジェリア 3% 南アフリカ 3% ドイツ 1% その他 3%
フィッシング攻撃のホスト国別分布(月次) 2017 年第 3 四半期、米国はシェアを 59%に維持し、首位を保った。2 位以下も、ほとんど大差なく似たような 顔ぶれが並んだ。 ※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類 日本でホストされたフィッシングサイト(月次推移) 日本でホストされたフィッシングサイト数は、前回、前四半期比で減少したが、今回はおよそ 10 倍に激増した。 フィッシング対策協議会の発表によると、国内で報告されたフィッシング攻撃の件数は、昨年 3 月から 6 割近く 減少したが、7 月の 579 件から 8 月には 1.9 倍に増加、9 月も 8%ほど増加した。同協議会が発信している注意 喚起は、前回同様の傾向が続いており、金融機関を騙る攻撃と、Apple、Amazon、LINE、Microsoft を騙る攻撃 が目を惹いている。
※ この報告は、AFCC が把握している攻撃の数です。AFCC が毎月発表する「RSA Monthly Online Fraud Report」 が Web に掲載されています。 本ニュースレターに関するお問い合せ先 EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子 44 36 10 11 224 213 180 6 14 3 27 10 104 0 50 100 150 200 250 16年9月 16年10月 16年11月 16年12月 17年1月 17年2月 17年3月 17年4月 17年5月 17年6月 17年7月 17年8月 17年9月 米国 59% ドイツ 4% ロシア 4% フランス 3% オランダ 3% ポルトガル 2% 英国 2% カナダ 2% 中国 2% ブラジル 1% その他23ヵ国 18%
サイバー犯罪グロッサリー
APT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。
Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。
CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。
C&C サーバー Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバー。
Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバーを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザーの設定ファイルを変更して不正な コードを実行させることから、この名がついた。 Nonpolite マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。
RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。
SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。
Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。
SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。
Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。
ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。
Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター・ブート・レコード)に不正な書 き換えを加えるなど、一方的にユーザーがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。 最近はサービスとしても提供されている。