2015 年のフィッシング、7 年連続で記録更新
~サイバー犯罪市場の活性化がカギ~
Quarterly AFCC NEWS:2016
年第
1
四半期版
フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の一 途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監 視 を 開 始 し 、 ホ ス テ ィ ン グ 事 業 者 と 協 力 し て フ ィ ッ シ ン グ サ イ ト を 閉 鎖 し ま す 。 FraudAction の 中 核 で あ る AFCC(
Anti-Fraud Command Center:
不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時 間 365 日体制で数カ国語を駆使し、対策に従事しています。Quarterly AFCC NEWS は、AFCC がまとめた四半期レ ポートからトピックと統計情報をまとめたものです。(2016 年 2 月 20 日発行) 今号のトピック 『2015 年のフィッシング動向』 フィッシング攻撃件数は 2015 年も過去最高を記録 フィッシング界でも中国の台頭が- 『最新フィッシング攻撃テクニックの紹介』 RSA が発見したフィッシングサイト閉鎖回避のテクニックをご紹介 今号の統計 2015 年第 4 四半期のフィッシング攻撃件数は過去 2 番目の多さに相当する 144,694 件(前四半期比 10.5% 増)であった。ブランドを騙られた国、攻撃をホストしている国ともに、中国の存在感が目立っている。一方、認知 されたトロイの木馬や攻撃は前四半期比で 3 分の 1 となり、2 四半期連続で激減した。最も多く用いられている トロイの木馬は、相変わらず Zeus で、前四半期に勢いを増した Citadel などは比率を元に戻した。 ■今号の特集 2015 年のフィッシング動向 フィッシング攻撃件数は 2015 年も過去最高を記録 2015 年に世界で確認されたフィッシング攻撃件数は、前年の記録を 5.7%上回り、調査開始以来 7 年連続で記 録を更新、ついに 50 万件を突破した。Zeus のソースコードが流出したことで、サイバー犯罪市場が大いに活性 化された 2011 年から 2012 年にかけての急増以降も、前年比 5%前後の伸びを重ねている。135,426 161,112 203,985 279,580 445,004 448,216 499,135 527,443 0 100,000 200,000 300,000 400,000 500,000 600,000 2008 2009 2010 2011 2012 2013 2014 2015 昨年 1 年の間で目を惹く変化としては、中国企業のブランドを騙る、すなわち中国企業の顧客を標的にしたフィッ シング攻撃件数の急増である(図-2 参照)。漸減しているとはいえ 5 割近い比率は米国が占めている。かつては 英国が占めていた 2 位の座は、2016 年も中国が占め続けるのであろうか。 フィッシング攻撃のホスト環境があった国の比率では、年初に影も形もなかった中国が存在感を見せ始めると同 時に、香港の比率が急増している。2016 年は、米国に代わって香港が世界のフィッシング攻撃の発信基地の座 を占めることになるのであろうか。 米国 米国 米国 米国 米国 中国 中国 中国 中国 中国 カナダ カナダ カナダ カナダ カナダ 英国 英国 英国 英国 英国 インド インド インド インド インド その他 その他 その他 その他 その他 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 2015-Q1 2015-Q2 2015-Q3 2015-Q4 2015通年 図-1: フィッシング攻撃数(年次推移) 図-2: フィッシング攻撃を受けた回数(国別シェア)の年間推移
最新フィッシング攻撃テクニックの紹介 自動 IP アドレス変更によるサイト閉鎖逃れテクニック 銀行利用者を狙った一連のフィッシング攻撃を調査した RSA のアナリストは、ある攻撃者がフィッシングサイトの IP アドレスを動的に変更することで、取り締まり(サイトシャットダウン)から逃れようとしていることを発見した。 フィッシングサイトの転送先URL (ドメインはMyDomainName.net) を含むフィッシングメールが届く
オンライン動的DNS
ジェネレータを使って
MyDomainName.net の
宛先を変えるスクリプトを
バックグラウンドで実行
最初にクリックした被害者は IPアドレス xxx.xxx.xx.001に 転送される 最初にクリックした被害者は IPアドレス xxx.xxx.xx.002 に転送される 図-3: フィッシング攻撃のホスト国別分布の年間推移 米国 米国 米国 米国 米国 香港 香港 香港 香港 香港 中国 中国 中国 中国 中国 英国 英国 英国 英国 英国 ドイツ ドイツ ドイツ ドイツ ドイツ その他 その他 その他 その他 その他 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 2015-Q1 2015-Q2 2015-Q3 2015-Q4 2015通年 図-4:自動 IP アドレス変更法のスキームIP アドレスとドメイン名の結びつきを曖昧にして閉鎖を遅らせることにある。 この手口を用いるにあたって、攻撃者はもうひと工夫していることも判明している。中間者攻撃法を使って窃取し た情報で不正ログインする際、銀行側の警戒レベルが上がりにくくなるように、IP アドレスは標的の銀行がある 国のローカル IP レンジと一致するように調整しているのである。これは、アクセス元の IP アドレスが海外のアドレ スの場合に警戒レベルを上げる、というビジネスルールを逆手に取ったものである。 こうした手口に対して、RSA では、攻撃に用いられたサイトのドメインが利用できないように、関係機関と連携す ることで、迅速なシャットダウンを実現している。 メールホワイトリストサービスを装ったスパムフィルタリング回避テクニック RSA のフォレンジック・アナリストが、先ごろ発見したフィッシング攻撃者のテクニックは、フィッシングメールを 排除するスパムフィルタリング機能の回避策である。具体的な回避策の一つ目は、攻撃に使用するサイトの URL 表記を図-5 のように暗号化することである。これは、IP アドレスを 16 進表記しており、ブラックリストに載っ ている IP アドレスかどうかの対比をしにくくすることで、サイトを閉鎖されにくくする意図があると見られる。 もう一つが、配信するフィッシングメールに埋め込む転送先の URL を図-6 に示すような形式にするというもので ある。この見慣れない URL の名前を解決すると、Sendgrid.com というドメインであることがわかった。これは、 このフィッシングメールの送信が同サイトの企業内アカウントから行われたように見せかけようとしていることを示 している。実際に同社の企業内アカウントが乗っ取られているかも知れない。 図-6: スパムフィルタリング機能を回避するための URL の”暗号化”(2) Sendgrid は大量メールの送信を代行する事業者で、キャンペーンメールを送る際に利用する企業も多く、そうし た企業の中では同社のドメインがホワイトリストに登録されていると考えられる。ホワイトリストに載っているアドレ スから送られたメールを装うことで、スパムメールフィルターなどの防御策を回避しようとしているとみられる。 http://0x63f8a520/~BankName http://emails.<詐称する企業のドメイン>.com/ wf/click?upn=MjzxhdNXKq45oYIIuiDb1ry79j0S9T5sjoi0Qrd4pCM- 3D_buwiear8Xu39PEFA6RGS3ZRSxtZ6bz28BDGYRROqNx- 2BN5XMEWSREG5KNZF8uVoU4nGdrVFsncbpAHkDaBNDLx-2F1q-2BQOxXVCMeQ96J9KhBWpICP9m9ZnaLAHPTNxj-2FHo3CpIulQM 図-5: スパムフィルタリング機能を回避するための URL の”暗号化”(1)
今号の統計レポート
□ 銀行利用者を狙うトロイの木馬の認知件数(四半期推移) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は以下の通り。前四半期比でほぼ 半減となった第 3 四半期に続き、ほぼ 3 分の 1 まで減少した。 ※ 亜種は概ね攻撃者ごとあるいは攻撃のたびに新たに作成されるため、攻撃の活性度を反映する。 □ トロイの木馬を使った攻撃に用いられた通信ノード(URL)の認知件数の推移(四半期推移) トロイの木馬の感染、更新、窃取した情報の送信などの目的で用いられた URL の認知件数も、トロイの木馬 の認知件数同様、連続で大幅(3 分の 1 ほど)に減少した。 ※ 通常、亜種 1 種に複数の URL が関連づけられているので、亜種の件数を URL の件数が大幅に上回る。 2,183 2,609 2,583 1,310 436 0 500 1,000 1,500 2,000 2,500 3,000 2014-Q4 2015-Q1 2015-Q2 2015-Q3 2015-Q4 6,976 5,871 7,775 3,221 1,009 0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 8,000 2014-Q4 2015-Q1 2015-Q2 2015-Q3 2015-Q4□ 認知されたトロイの木馬亜種の分類
2015 年第 4 四半期、世界を対象とした攻撃への関与が確認されたトロイの木馬について、RSA AFCC が認知し たものを原種別に分類した結果。
Zeus の比率は横ばいで、全世界において独点的な地位を占め続けている。Citadel が 6 ポイント、ISR Stealer が 11 ポイント比率を下げて、第 2 四半期の水準に戻している。 マルウェア攻撃のホスト国別分布(月次) トロイの木馬と通信していた URL がホストされていた国毎に分類した結果。米国が 2 四半期連続で比率を高 め、11 ポイント増加したのが目を惹く。2 位に入った英国も前四半期比で 12 ポイント比率を上げており、それ以 下の国々も大きく順位を変動している。 ※ いずれもホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類である。 Zeus 41% Citadel 24% Dyreza 6% Pony Stealer 6% Qakbot 5% ISR Stealer 4% Bugat v4 3% CoreBot 3% Vawtrak 2% その他 7% 米国 45% 英国 14% カナダ 8% ロシア 6% フランス 5% シンガポール 4% マレーシア 3% イスラエル 3% 豪州 2% イタリア 2% スロヴェニア 2% その他 7%
フィッシング攻撃数(四半期推移) 2015 年第 4 四半期、AFCC が認知したフィッシング攻撃件数は 144,694 件と過去 2 番目の多さであった。 前四半期比では 10.5%増。前年同期とほぼ同水準。この結果、累計数でも前年同期を 7.3%上回った。 フィッシング攻撃を受けた回数(国別シェア) 2015 年第 4 四半期も、最も多く攻撃を受けたのは米国のブランドの利用者だった。しかし、その比率は、前回の 63%から 16 ポイント減少した。中国が 7 ポイント増の 22%を占め 3 四半期 連続の 2 位に入った。カナダが 3 位に上がり、英国は 5 位に後退した。4 位には 6 ポイント増のインドが入った。 105,183 81,961 99,699 125,212 141,344 108,454 147,359 100,510 142,812 125,006 126,797 130,946 144,694 0 20,000 40,000 60,000 80,000 100,000 120,000 140,000 160,000 2012-Q4 2013-Q1 2013-Q2 2013-Q3 2013-Q4 2014-Q1 2014-Q2 2014-Q3 2014-Q4 2015-Q1 2015-Q2 2015-Q3 2015-Q4 米国 47% 中国 22% カナダ 10% インド 8% 英国 5% 南アフリカ 2% スペイン 2% オランダ 1% コロンビア 1% ペルー 1% その他 1%
フィッシング攻撃のホスト国別分布(月次) 2015 年第 4 四半期も、世界の攻撃の 40%は米国内でホスティングされていた。香港が 27%の 2 位、3 位中国 までは 3 回連続変わらなかった。4 位は英国、5 位はコロンビアだった。 ※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類であ る。 日本でホストされたフィッシングサイト(月次推移) 2015 年第 4 四半期、日本でホストされたフィッシングサイト数はのべ 148 件だった。第 3 四半期の 62 件の 2.4 倍にあたる。グラフからもわかるとおり 8 月までの累計が 112 件だったのに、9 月からの 4 ヶ月で 188 件が確認 された。半分の期間で 68%多い件数が確認されたことになる。この傾向が今年も続くのか、注意が必要である。 フィッシング対策協議会の発表によると、第 4 四半期の間に報告されたフィッシングの件数は、3,005 件で、第 3 四半期の 1,250 件から急増、第 2 四半期の 3,806 件に迫る勢いだった。そのうち 2,540 件が 12 月に集中し ており、横浜銀行、セブン銀行、ゆうちょ銀行、千葉銀行、イオン銀行、じぶん銀行と多くの金融機関の利用者を 45 20 24 11 18 8 9 12 10 40 61 27 60 0 10 20 30 40 50 60 70 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 米国 40% 香港 27% 中国 6% 英国 3% コロンビア 2% フランス 2% ドイツ 2% ロシア 2% ポーランド 2% ハンガリー 2% その他 14%
10 月には、日本国内のオンラインバンキング利用者を狙ったマルウェア「Win32/Brolux.A」が確認された。88 の国内金融機関を騙るこのマルウェアは、被害者を金融庁を装ったフィッシングページへ誘導し、アカウント情報 を詐取していた。 11 月には 70 以上のサイトで訪問者を攻撃サイトに転送する改ざん被害が発生した。アクセスすると、金銭な どを要求するランサムウェアに感染させる。 12 月には、大阪府堺市の職員によって無断持ち出しされた個人情報の漏えいに、同市の全有権者約 68 万人 のデータが含まれていることが明らかになった。個人的な目的で契約したレンタルサーバから外部へ流出してい たことが、9 月に発覚していた。
※ この報告は、AFCC が把握している攻撃の数です。AFCC が毎月発表する「RSA Monthly Online Fraud Report」 が Web に掲載されています。
本 ニュースレターに関するお問い合せ先
EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子
サイバー犯罪グロッサリーAPT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。
Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。
CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま
たそれに使われる画像。
C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。
Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。
RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。
Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。
SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。
Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。
SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。
Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。
ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。
Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター・ブート・レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。
