オンラインバンキングの防犯対策をバイパスする
FireFox
アドオン
Tamper Data
Monthly AFCC NEWS:2014
年
10
月号
(Vol.87)
フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の 一途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知する と監視を開始し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核で ある AFCC(
Anti-Fraud Command Center:
不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時間 365 日体制で数カ国語を駆使し、対策に従事しています。AFCC NEWS は、フィッシングやオンライン犯罪関 連ニュースからトピックを厳選し統計情報と共に AFCC がまとめたものです。(2014 年 10 月 30 日発行)今月のトピックの概要
今月は、『FIREFOX ADD-ON BYPASSES ONLINE BANKING ANTI-FRAUD MEASURE~オンラインバン キングの防犯対策をバイパスする Firefox のアドオン~』と題して、オンラインサービスで採用が進む SMS を利 用した二要素認証へのサイバー犯罪者たちの対抗策を紹介する。 今月の統計のハイライト 9 月のフィッシング攻撃件数は、42,571 件と、8 月の 55,813 件から 24%減少した。それでも 6 月までの勢い もあって、年間累計数は 35 万件を超え、昨年の同時期を約 16%上回っている (「フィッシング攻撃数(月次推 移)」参照)。「フィッシング攻撃を受けたブランド数(月次推移)では、総攻撃件数が大幅に減ったにもかかわらず、 攻撃の集中傾向は強まった(攻撃されたブランド数が減り、手ひどく攻撃を受けたブランドの比率は上がった)。 フィッシング攻撃のホスト国別分布(月次)では、米国が 60 ヶ月(丸 5 年)連続の首位を占める一方で、2 位の香港 が 2010 年代初の 3 ヶ月連続 10%超えで目を惹いた。
今月の特集: 「FIREFOX ADD-ON BYPASSES ONLINE BANKING ANTI-FRAUD MEASURE~オン ラインバンキングの防犯対策をバイパスする Firefox のアドオン~」大手米国銀行のウェブサイトが防犯対策を採用するなか、RSA は、その防犯対策をバイパスするための Firefox アドオン、Tamper Data の利用を勧める投稿をロシア語圏の地下フォーラムで発見した。
この不正アドオンTamper Dataは、標的に感染させるものではなく、犯罪者自身が標的のオンラインバンキン グ口座に不正アクセスするためのものである。今では、多くの銀行のオンラインバンキングサービスが、不正アク
セス防止策としてSMSを利用したOOB型 1の二要素認証を組み合わせている。Tamper Dataは、この二要素認
証機能を起動させず、あたかも利用者本人の端末からログインが試みられたかのように、不正ログインを偽装す る機能を提供する。
技術的には、Tamper Data を使うことで、不正ログインを行う際の HTTP/HTTPS 通信のヘッダー中の様々な パラメータの確認・改ざんができる。また、不正利用防止のためにおおかたのブラウザが変更できないよう制約
をかけている HTTP 通信の GET 要求と POST 要求の不正改ざんもできる。
投稿によると、「Firefox」「Tamper Data」「ログイン情報とデバイス ID」があれば、犯行は可能だという。
犯行方法 1. 銀行のウェブサイトに行き、不正に入手したログイン ID とパスワードを入力する。 ブラウザの「Tools」メニューから「Tamper Data」を選択する。 2. 表示された別ウインドウのメニューから「Start Tamper」をクリックする。 3. オンラインバンクの画面に戻り、不正に入手したログイン情報を入力した上で、「Log In to Accounts (口 座にログインする)」をクリックする
4. ポップアップ画面の中の「Tamper」をクリックする
6. オプション「Continue Tampering」のチェックを外し、「Submit(実行)」をクリックする まとめ Tamper Data の特徴は、防犯システムのリスク判定機能を、不正に入手したデバイス ID を使って口座保有者 の端末からログインされたものだと欺くことで、SMS による二要素認証を行わせないという点にある。 SMS を用いた OOB 型の二要素認証は、Google など海外サービスで用いられてきたことやスマートフォンの 普及によって、日本のオンラインサービスユーザーにとっても珍しいものではなくなってきている。その中で、今回 の事例は、OOB 型の二要素認証が決して万能とは言えないことを示す好例と言えるだろう。 このことは、オンラインバンキングを含むあらゆるオンラインサービス事業者にとって、OOB 型の二要素認証 を採用する際に、その強度やリスク判定をしっかりと行う必要があることを示唆している。もちろん、Google 認証 や Facebook 認証のような外部認証とのフェデレーションを行う際にも、同様の考慮が必要となろう。 Tamper Data が威力を発揮するには、犯罪者側が何らかの方法でデバイス ID を入手する必要がある。 した がって、今後はこのデバイス ID の不正入手(推測なども含む)のためのマルウェアなどの罠が広まることになろう。 今後は、利用者に対してパスワードなどのログイン情報以外に、デバイス ID の保護についても啓蒙を推進する と共に、デバイス ID 以外の要素でもリスクを測る必要があることも、今回の事案は示唆している。
今月の統計レポート フィッシング攻撃数(月次推移) 2014 年 9 月、AFCC が検知した単月のフィッシング攻撃件数は 24,794 件であった。これは 8 月の 33,145 件 から 25%減、前年同期比で 46%にして、昨年 3 月以来の低水準である。グラフからもわかるとおり、6 月の 55,813 件をピークに 4 ヶ月連続の減少である。このまま漸減傾向を続けてくれればよいのだが、例年ここから年 末のホリデーシーズンに向けて新たなピークが訪れることを忘れてはいけない。 フィッシング攻撃を受けたブランド数(月次推移) 9 月にフィッシング攻撃を受けたブランドは 249 件と、8 月の 283 件に比べて約 12%減少した。5 回を超える 攻撃を受けたブランド数は 134 件、全体に占める比率は 54%と、8 月の 50%から 4 ポイント増加した。 今月の総攻撃回数とフィッシングを受けたブランド件数の関係は、「総攻撃回数が減った月は、攻撃を受けた ブランド数が増え、手ひどく集中攻撃を受けたブランドの比率も減る」というよく見られる傾向とは、真反対であっ た。なお、初めて攻撃を受けたブランドは 0 件だった。 46,119 62,105 42,364 36,875 29,034 36,883 42,537 52,557 38,992 55,813 42,571 33,145 24,794 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 9月 10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 304 265 344 328 336 287 333 319 294 239 260 283 249 152 134 187 177 170 148 145 171 151 120 118 142 134 0 50 100 150 200 250 300 350 400 9月 10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 攻撃を受けたブランド数 月間5回を超える攻撃を受けたブランド数 フィッシング攻撃を受けた回数(国別シェア) 9 月の結果は、米国の比率が 9 ポイント減少するなどの変化はあったが、顔ぶれ自体は 8 月とまったく同じも のだった。 首位を占めた米国ブランドに対する攻撃の比率は 73% →57%→63%→61%→52%と乱高下を続けている。 また、2 位には英国が 4 位から返り咲き、3 位の中国は 変わらず、4 位には前回 2 位のオランダが入った。いずれ も、米国の減少分から 1~3 ポイント程度を加えて、微増 となった。 圏外の国々は 48 ヵ国から 40 ヵ国に減ったものの、占 めた比率は 18%で変化はなかった。 フィッシング攻撃を受けたブランド数(国別シェア) 9 月は、前回久しぶりにランクインした中国に代わってインドが返り咲いたものの、それ以外の顔ぶれに変化 はなかった。その返り咲いたインドは 9%で 3 位となったものの、それ以外の国々の占めた比率に変化はなかっ た 。 1%以下の比率を占める国々は、48 ヵ国から 40 ヵ国へ、比率も 51%から 45%へと減少した。. 米国 25% 英国 11% インド 9% カナダ イタリア その他 40ヵ国 45% 米国 52% 英国 9% 中国 8% オランダ 6% カナダ 5% その他 40ヵ国 18%
フィッシング攻撃の金融機関分類別分布 9 月、大手銀行の利用者を狙った攻撃の比率は、5 月からの増加傾向から一転して 11 ポイントの減少となっ た。この減少分を引き受けたのが、地方銀行を騙る攻撃で、前月比 9 ポイント増の 27%を占めた。信用金庫を騙 る攻撃の比率は 13%と、前月比 1 ポイントの増加に留まった。 このチャートは、金融機関に対する攻撃量ではなく、攻撃の際に名前を騙られた金融機関を種類別に分類し た攻撃の発生状況を示している。なお、大半のフィッシング攻撃が、地域を限定しない大量のスパム配信による ものであるため、全国規模の大手銀行の顧客がスパムを受信する確率は高くなっている。 フィッシング攻撃のホスト国別分布(月次) 9 月も最も多くのフィッシングをホストした国は米国 だった。35%という比率は、8 月と変わらず、今年の平 均的な水準である。これで、2009 年 10 月から まる 5 年連続で、1 位の座を保ったことになる。この間 8 割を 占めていたこともあるので、それを思えば、比率は半 分以下に下がったことになる。 変化に乏しい中でも、目を惹くのは 3 ヶ月連続で 2 位に入った香港である。過去 4 年間で 2 位が 2 桁の シェアを占めたのは 2 回しかなかった。しかし、これで 3 ヶ月連続で 10%超えである(13%→13%→12%)。 それ以外の顔ぶれでは、イタリアとトルコに代わって、 ウクライナとロシアがランクインしている。 9 月は、全体の 25%を 1%未満の 60 ヵ国で分け合っ ている(8 月は、20%を 57 ヵ国で分け合っていた)。 ※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類である。 日本でホストされたフィッシングサイト(月次推移) 60% 57% 71% 63% 62% 68% 61% 58% 53% 55% 59% 71% 60% 26% 28% 21% 32% 22% 5% 30% 32% 34% 32% 36% 18% 27% 14% 15% 8% 5% 16% 28% 9% 11% 13% 13% 5% 12% 13% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 9月 10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 米国大手銀行 米国地方銀行 米国信用金庫 米国 35% 香港 12% ドイツ 7% オランダ 5% ウクライナ 3% カナダ 3% 英国 3% フランス 3% ロシア 2% コロンビア 2% その他60ヵ国 25%
2014 年 7 月、フィッシング対策協議会に報告が寄せられたフィッシング報告件数は、8 月の 612 件から、40 件増えて 652 件となった。9 月注意喚起がなされた事例は、三菱東京 UFJ 銀行を騙ったものと、Club NTT-West(NTT 西日本)を騙るものだった。 その他にも、多くの事案が報道されている。リスト型と見られるパスワード不正アクセスの被害は留まるところ をしらない。利用者に対するパスワード管理啓蒙のいっそうの強化が求められている。 公表日 事業者名/サービス名 攻撃手法 被害状況など 9/8 リクルートホールディングス/ ポンパレモール PW不正アクセス 9,749件のIDが不正アクセス→一部じゃらんnetへの不正会員 登録に利用か? リスト型か? 9/11 パロアルトネットワークス サイト改ざん マルウェア配布サイトへの誘導 9/18 ゲームオン/同社オンラインゲーム DDoS攻撃 今年3月攻撃を行った高校生を書類送検 9/22 法務省/同省の局内システム 不正アクセス 具体的な攻撃方法や被害状況などは不明 9/23 良品計画/無印良品ネットストア PW不正アクセス 約1.8万回の試行→19件が成功 リスト型か? 9/24 日本航空/JALマイレージバンク 不正アクセス 社内PCがマルウェア感染。最大75万件の顧客情報流出 9/26 ヤマト運輸クロネコメンバーズ PW不正アクセス 約19万回の試行→1万件あまりが成功 9/29 佐川急便会員向けサービス PW不正アクセス 約3万4千件あまりのアカウントが被害 9/30 NTTドコモ/ docomo ID PW不正アクセス 約225万回の試行→6千件あまりが成功 10/14 MRT/医師看護師向け就職情報紹介 内部不正持ち出し 元従業員による利用者情報約1万千件の不正持ち出し
AFCC NEWS のバックナンバーは Web でご覧いただけます。
http://japan.emc.com/security/rsa-fraud-prevention/rsa-fraudaction.htm#!リソース 本ニュースレターに関するお問い合せ先
EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子
Tel : (03)6830-3234(直通)、(03)6830-3291(部門代表) eMail : [email protected] Twitter : @RSAsecurityJP WEB : http://japan.emc.com/rsa
15 3 7 31 26 12 40 18 33 43 42 32 25 0 5 10 15 20 25 30 35 40 45 50 9月 10月 11月 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月
サイバー犯罪グロッサリーAPT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。
Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。
CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。
C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。
Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。
RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。
SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。
Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。
SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。
Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。
ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。
Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター・ブート・レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア
