取引の異常における保護対策
-マルウェアの侵入を阻止する
白書
目次
概要
3
プログラム可能な犯罪ロジックは、ウェブ・アプリケーションの流れと内容を変更する3
プログラム可能な犯罪ロジックは、サーバー・再度のセキュリティ制御を破る4
ジオロケーションとデバイス識別
4
アカウント・プロファイリング
5
取引の確認/署名
5
二要素認証システム
5
Trusteer Pinpoint
の技術5
Trusteer Pinpoint
の展開6
Trusteer Pinpoint
の詐欺防止方法7
ステップ1:マルウェア検出
7
ステップ2:検出結果を受け取る
7
ステップ3:検出された情報に基づき、詐欺防止対策を行う
8
Trusteer Pinpoint
及びTrusteer Rapport:
補完的なソリューション9
概要
デスクトップ・コンピュータや携帯機器上のZeusやSpeEyeなどのトロイの木馬は、サイバー犯罪の主要な 原因です。 ほとんどの金融不正は、マルウェアに感染したエンドポイントが原因であり、これらはマン・イ ン・ザ・ミドル(MitM)やマン・イン・ザ・ブラウザ(MitB)などの攻撃を効果的に実行します。 従来のウ ェブの保護ソリューションは、悪意のある技術とソーシャルエンジニアリングの組み合わせで、簡単に破るこ とができます。 アンチウイルスの保護対策は、オンラインバンキング及び従業員の遠隔アクセスしたウェブ サイトを狙う高度なマルウェアをほぼ検出することができません。 Trusteer Pinpointは、マルウェアに感染したデバイスを正確に検出するクライアントレス・ソリューションで す。 Trusteer Pinpointのマルウェア分析は、マルウェアの有無とそれらの構成を判断し、これに基づき企業に どれだけの脅威をもたらすかを特定します。 組織は、Trusteer Pinpointのリスク・スコアを使用することによ り、社内の不正防止チームへの警告及び極秘の取引へのアクセスを制限し、不正の可能性やデータ盗難を阻止 することができます。 Trusteer Pinpointは、ユーザーに対し完全に透過的であり、エンドポイントでのソフト ウェアのインストールを一切必要としません。プ
ログラム可能な犯罪ロジックは、ウェブ・アプリケーション
の流れと内容を変更する
Bugat、Carberp、OddJob、Tatanga、およびShylockは、ZeusやSpyEyeなどの金融マルウェア市場のリーダ ーに並ぶ、数々の新しいマルウェア・ファミリーのほんの一部です。これら一つ一つの悪意のあるソフトウ ェアのコードは異なる開発者チームによってコード化されたものの、すべて同様の機能を備えています。 それは「プログラム可能な犯罪ロジック」です。 プログラム可能な犯罪ロジックとは、マン・イン・ザ・ミドルと呼ばれる攻撃を裏付けるコア技術のことで す。 この技術により、金融マルウェアは効果的に認証やセキュリティ制御を突破することができます。 要約 すると、これは不正行為者の、被害者と特定のウェブサイトの間のウェブ・コミュニケーションを変更する 能力です。 プログラム可能な犯罪ロジックを適用するマルウェアは、集中管理され不成行為者によって更新されます。 一度ユーザーが感染されると、マルウェアは、ウェブ上のコマンド・アンド・コントロール(C&C)サーバ ーとのコミュニケーションを開始します。 マルウェアは、ターゲット・アプリケーション内のウェブページ 及びウェブコミュニケーションを変更する方法に関しての指示とURLのリストを含む犯罪ロジック・ペイロー
不正行為者は、主に次の3つの事柄を目的としてプログラム可能な犯罪ロジックを使用します。
• 情報漏洩:プログラム可能な犯罪ロジックを使用することにより、不正行為者はログイン画面やウェブ サイト上のその他のページにフィールドを追加することができます。彼らは、これらのフィールドを利 用して、認証情報や問合せ先、支払いカード情報など、機密情報を求めることができます。情報が入力 されたら、マルウェアがこれらを収集し、不正行為者に送信します。
• 被害者による行動を促す:協力なセキュリティ制御(例:One Time PasswordやTransaction Signing) を突破するために、不正行為者はプログラム可能な犯罪ロジックを利用して、顧客が「セキュリティ・ トレーニング」や「デバイス・キャリブレーション」の名目の行為を取るように騙します。エンドユー
ザーは、Transaction Signingキーの生成、帯域外OTPの入力、または携帯機器へのソフトウェアのイン
ストールを求められます。 • 取引の改ざん:プログラム可能な犯罪ロジックを利用して、マルウェアは、ユーザーから銀行のウェブ サイトに送信された取引を変更することができます。たとえば、マルウェアは、エンドユーザーや銀行 が知ることなく、取引に受取人を追加したり取引の詳細を変更することができます。 犯罪ロジックは動的です。 不正行為者は常に新しい犯罪ロジックを開発しています。そのため、不正行為 は時間とともにより洗練され、効率的なものになります。 感染したコンピュータは常に独自のC&Cサーバ ーに接続し、最新の犯罪ロジックを受け取ります。
プログラム可能な犯罪ロジックは、サーバー・再度の
セキュリティ制御を破る
プログラム可能な犯罪ロジックに基づく攻撃は幅広く不正行為に使用されています。 その人気は、主にプ ログラム可能な犯罪ロジックが、現在銀行によって配備されているサーバー側のセキュリティ対策のほと んどを、効果的に阻止することができるからです。ジオ
ロケーションとデバイス識別
多くのセキュリティ対策は、既知のデバイス及び位置のリストを維持しています。 アプリケーションをア クセスするのに使用された新しいデバイスや位置は、それに対応する取引のリスク・レベルを上げます。 この方法は、フィッシングなどの一部のオフラインで行われる取引の盗難に効果的ですが、プログラム可 能な犯罪ロジックには対処できません。なぜなら、不正がエンドユーザーの機器内で実行されているから です。そのため、ほとんどの場合、既に認証されたセッションが活用されます。アカウント
・プロファイリング
「アカウント・プロファイリング」システムは、アカウントの商用取引を追跡し「正常な取引」のプロファイ ルを維持するのに使用されます。 ユーザーが「異常な取引」を実行すると、システムがそれを「高リスク」 と評価します。 エンドユーザーの機器内に永続的に存在するマルウェアは、ユーザーアカウントを監視し、 ユーザープロファイルを調査しています。 これにより、マルウェアはセキュリティに検出されない取引を慎 重に作成することができます(正常と思われるように、妥当な金額と受取人の場所を使用します)。 不正行 為者は、一つの攻撃が失敗しても、成功するまで犯罪ロジックを改良し続けることが可能です。取引の確認/署名
SMSテキストメッセージや専用ハードウェアデバイスを含む、様々な取引認証システムは、多様なソーシャ ル・エンジニアリング戦略を介してプログラム可能な犯罪ロジックに常に突破されます。 不正行為者はこれら の攻撃で、ユーザーが知らずに不正取引を承認するように納得させる文書を、ウェブページに含ませる変更を 施します。二要素認証システム
犯罪ロジックはログイン後に実行されるため、二要素認証システムは簡単に突破されます。いったんユーザ ーが認証されたら、不正行為者は彼らのセッションをコントロールし取引を改ざんすることができます。Trusteer Pinpoint
の技術
Trusteer Pinpoinには三つの主要要素が含まれます。センサー、クラウド・サービス、およびハーベスティン グと分析サービスです。 統合が必要なコンポーネントはセンサーだけです。センサーのコードは、標的のウェ ブサイトにコピーされます。 ウェブ・アプリケーションの一部として実行され、極秘のウェブ・ページにアク セスするデバイスを監視します。そして、既知の犯罪ロジックとそれらのデバイスの行動を比較します。 Trusteerは、企業が操作する他のサービスを介してマルウェア・コードが取得される、複雑なオペレーション を実行しています。 マルウェア・コードは、手動プロセスおよび自動化されたプロセスにより分析され、これ により、Trusteerは、いつでもC&Cによってホストされた犯罪ロジックを抽出することができます。 Trusteerは、マルウェアのC&Cから犯罪ロジックを抽出し、感染したデバイスを識別するルールを構築しま す。 Trusteerが新しい種類のマルウェア、および異なる犯罪ロジックを提供する追加的なマルウェアC&Cサー バーに、アクセスできるようになるにつれ、常に新しいルールが開発されます。感染したエンドポイント機器が銀行のウェブサイトにアクセスしたとき、銀行のウェブサイトの一部とし て実行されているTrusteer Pinpointがセッション中のデバイス動作を監視し、犯罪ロジックを識別するた めに事前設定されたルールを適用します。 一致する動作が検出された場合、Trusteer Pinpointがそのマル ウェアの種類およびウェブサイトへの影響を識別します。
たとえば、ユーザーのログイン情報を盗むSpyEyeに感染したデバイスを検出した場合、Trusteer Pinpoint は警告を通知することができます。
Trusteer Pinpoint
の展開
Trusteerは、Trusteer Pinpointのいくつかの展開オプションを提供しています。 最も一般的な統合オプシ
ョンは、Trusteerのウェブ・アプリケーションのライブラリを使用することです。 この方法では、特定の ウェブページから銀行のウェブ・アプリケーションがTrusteer Pinpointのライブラリを呼び出し、マルウ ェア感染の兆候を受け取り、必要に応じてアプリケーション・ロジックを調整します(例:アクセス 制限など)。 一度統合されると、Trusteer Pinpointは、学習期間なしで即座にマルウェアの検出を開始します。 Trusteer Pinpointはエンドユーザーに完全に透過的であり、背景で静かに動作します。 全てのプロセスは一秒以内で完了し、ブラウジング体験に何の視覚的影響ももたらしません。 Trusteer Pinpointは携帯機器を含むすべてのブラウザおよびオペレーティング・システムに対応していま
す。なお、Flash、Java、ActiveXなどの任意のソフトウェアのインストールは必要ありません。
Pinpointのセンサー ウェブサイト 感染したデバイス Pinpointのクラウド ・サービス マルウェアの行動ルール
Trusteer Pinpoint
の詐欺防止方法
Trusteer Pinpointの不正防止プロセスには主に三つのステップがあります。ステップ1:マルウェア検出
Trusteer Pinpointは、ユーザーが銀行のウェブサイトを閲覧している間に、マルウェアに帰属する異常行動を 識別します。この検出プロセスによって、次のデータが提供されます。 • リスクスコア - 低リスク:コンピュータ上でマルウェアが検出されなかった - 中リスク:異常動作が確認されたが、決定的にマルウェアとして特定することはできない - 高リスク:マルウェアが確認されたが、現在は銀行のウェブサイトを攻撃するように構成されていない - 超高リスク:マルウェアは、銀行のウェブサイトを攻撃するように構成されている • マルウェアの詳細 - マルウェアの種類(例:Zeus、SpyEye) - 攻撃の種類:認証情報の盗難、取引の改ざん等ステップ2:検出結果を受け取る
検出プロセスの結果は、次のいずれかまたはすべての方法で銀行に送信されます。• Trusteer PinpointのAPI一度マルウェアが検出されると、検出結果が直接銀行のウェブ・アプリケーション
に、さらなる処理のために、送信されます。 • 電子メールフィード一度マルウェアが検出されると、Trusteerの管理アプリケーション(TMA)で設定され ていた銀行の受取人に電子メールフィードが送信されます。 • Trusteerの管理アプリケーション(TMA)の報告書報告書は、図と表の両方の形式で表示され、サービスに より検出されたマルウェア関連のデータを通知します。 • Trusteerのフラットファイル・フィード検出されたすべてのイベント一覧を含んだ「フラットファイル」が 定期的に顧客に送られます。
ステップ3:検出された情報に基づき、詐欺防止対策を行
う
マルウェアが検出されると、銀行は、次のような行動が取れます。オフラインで
• ユーザーを感染されていると識別し、次回のログインで認証情報の変更を求める • コンピュータの清掃および取引の検証のために、感染されたユーザーに問い合わせる• Trusteer Rapportの顧客は、マルウェア除去のためにRapportをインストールするようにエンドユーザーに指示 することができます。 • マルウェアの除去が適時に行うことができない場合は、それまで他のデバイスを使用するようにユーザ ーに指示することができます。リアルタイムで
PinpointのAPIにより提供された取引の企業機密度とリスクスコアに基づき、
次の行動を実行することができます。
• アクセスを制限するユーザーによる、機密度の高い操作や取引の実行を阻止することができます。 • サードパーティのリスクエンジンでリスクを昇格するRSAのAdaptive AuthenticationやNice Actimize
などのリスク・エンジンを使用する場合、Trusteer Pinpointが特定の不正行為検出ルールに関連付けし たデータをリスク・エンジンに送信することができます。Trusteer Pinpointとリスクエンジンの統合は 容易であり、両方のベンダーのAPIに対応されています。
Trusteer Pinpoint
及び
Trusteer Rapport
:
補完的なソリューション
Trusteer Rapportを使用している組織に対し、Trusteer Pinpointは、クライアント・ソフトウェアを使用で
きない、または、使用を拒むユーザーに対処する機能を追加します。 どちらの製品もお互いを補完するも のであり、全ユーザーベースの総合的なカバレッジを提供します。 しかし、両方の製品を使用することの メリットはさらにあります。 Trusteer RapportとTrusteer Pinpointは、完璧なマルウェア保護パッケージ を形成します。マルウェアに感染したデバイスを検出し、デバイスからマルウェアを阻止・削除すること により、デバイスを保護します。これにより、(オンラインバンキングなどの)機密の操作をデバイスか ら安全に実行することができます。