フィッシングという言葉が1996 年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途です。 RSA は 2003 年よりオンライン犯罪対策サービス「RSA FraudAction」を提供しており(国内提供は 2006 年から)、 トロイの木馬の存在を検知し、フィッシングサイトを閉鎖します。FraudAction の中核である AFCC(Anti-Fraud
Command Center
:不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時間 365 日体制で数カ国
語を駆使し、マルウェア解析、犯罪手口の解明に従事しています。Quarterly AFCC NEWS は、AFCC が定期的に公 開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報、統計情報をまとめたものです。(2017 年第 4 四半期版 : 2018 年 2 月 20 日発行) 今号のトピック 1. 2017 年盗難クレジットカード情報が多く流通した上位 20 ヵ国の平均単価 2017 年で盗難クレジットカード情報が多く流通した上位 20 ヵ国とその平均単価を紹介します。 2. マルウェアの脅威水準の急激な上昇 2017 年は、実に多くの大きな変化が起きました。何と言っても、ずっと右肩上がりだった年間フィッシング攻撃 件数が初めて前年割れとなりました。これはとても喜ばしいことのはずなのですが、現実はそこまで単純ではあ りません。2017 年に確認されたマルウェア亜種の数が 2016 年の 10 倍だったと知れば、この事実は世界のセ キュリティが改善した結果ではなく、攻撃手法のトレンドの変化によるものだと考えざるを得ないからです。その 一方で、日本においては、こうした海外の傾向とは一線を画し、夏以降フィッシング攻撃も高い水準で続いていま す。
THREAT
1. 2017 年盗難クレジットカード情報が多く流通した上位 20 ヵ国の平均単価 RSA が 1 月に発表した「2018 年サイバー犯罪者のショッピングリスト(盗まれた個人情報の闇市場価格)」で は、クレジットカードサイトから盗まれた個人情報の相場価格は、3 ドルから 5 ドルでした。クレジットカード犯罪 は、闇市場でいまだに健在です。闇市場で行われているのはクレジットカード情報の取引だけではありません。 犯罪初心者向けのカーディング(クレジットカードを用いた不正行為)個別指導や、カード情報の窃取、転売、現 金化、マネーロンダリング、フィッシングキット開発など、不正の一部を担う活動の場があります。 下に示す地図は、2017 年に最も多く盗難クレジットカード情報が売買された上位 20 ヵ国を示し、カード情報 1 件あたりの相場価格を国別に示しています。 ※ 2017 年最も多くカード情報が売買された上位 20 ヵ国について、カード情報 1 件あたりの相場価格を国別に示して いる。 図-2: 2017 年盗難クレジットカード情報が多く流通した上位 20 ヵ国の平均単価 カナダ $9.19 デンマーク $11.88 米国 $9.19 英国 $11.91 スウェーデン $10.09 フランス $11.01 アイルランド $10.07 ノルウェイ $10.27 ドイツ $11.38 メキシコ $10.63 ブラジル $10.11 イタリア $11.82 トルコ $10.62 南アフリカ $12.80 スペイン $10.73 豪州 $10.79 ニュージーランド $13.90 韓国 $12.91 台湾 $11.96 インド $8.69
2. 2017 年第 4 四半期の統計情報 銀行利用者を狙うトロイの木馬の認知件数(四半期推移) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は、3 四半期連続で大幅増を遂 げた。前四半期比で60%増、2017 年第 1 四半期との比較では実に 70 倍にあたる。第 2 四半期、第 3 四半期 は連続して前期の6.7 倍で増加、その勢いに陰りはあるものの、第 4 四半期は前期比 1.6 倍の増加である。 ※ 亜種は概ね攻撃者ごとあるいは攻撃のたびに新たに作成されるため、攻撃の活性度を反映する。 トロイの木馬を使った攻撃に用いられた通信ノード(URL)の認知件数の推移(四半期推移) こちらは、トロイの木馬の感染、更新、窃取した情報の送信などの目的で用いられた URL の認知件数。トロイ の木馬の認知件数と同様の傾向で、第1 四半期の 60 倍に増加している。 272 144 960 6,386 10,316 0 2,000 4,000 6,000 8,000 10,000 12,000 2016-Q4 2017-Q1 2017-Q2 2017-Q3 2017-Q4 8,000 10,000 12,000 14,000
認知されたトロイの木馬亜種の分類 2017 年第 4 四半期、世界を対象とした攻撃への関与が確認されたトロイの木馬について、RSA AFCC が認 知したものを原種別に分類した結果である。 今年に入って、これまで一度もランキングに入ったことのないところから突如圧倒的な1 位となった Trickbot が 6 ポイント比率を下げたもの の 3 四半期連続のトップを 占めた。 2 位の Bugat こそ 8%を 占めたが、3 位以下はいず れも 1%とわずかなシェアを 占めるに留まっている。 マルウェア攻撃のホスト国別分布(月次) こちらのチャートも 2 四半期連続で、前四半期の変化が加速していることを示している。前回、調査開始以降 初めて米国から首位を奪ったロシアがさらに42 ポイント増えて 70%を占めた。米国は 13 ポイント減少、3 位に 入った初顔のルクセンブル グも含め、以下のいずれの 国も 5%に満たない比率に 留まった。このグラフからわ かることは、驚異的な勢い で増えている攻撃の 7 割を ロシアからの攻撃が占めて いるということである。 ※ いずれもホストしたISP や フィッシングドメインを管理 していた登録事業者の所 在地別分類 Trickbot 87% Bugat 8% Mobile Malware 1% Ramnit 1% RAT 1.0% Pony Stealer 1% その他 1% ロシア 70% 米国 7% ルクセンブルグ 4% リトアニア 3% ドイツ 2% ポーランド 2% メキシコ 1% フランス 1% その他 10%
フィッシング攻撃数(四半期推移) 例年第3 四半期を下回ることがない第 4 四半期のフィッシング攻撃件数だが、2017 年は 123,929 件と前四 半期を下回った。この結果、2017 年の年間累計攻撃件数は 546,749 件に留まり、2008 年の調査開始以降初 めて通年のフィッシング攻撃件数が前年割れ(前年比 56%減)となった。2015 年と比べても 3.6%の微増で、時 計の針が約2 年巻き戻った、という印象である。2017 年は脅威の主流が一気にマルウェアに傾いた年であった が、2018 年がどうなるのか大いに注目している。 フィッシング攻撃を受けた回数(国別シェア) 2017 年第 4 四半期、最も多く攻撃を受けたのは、3 四半期連続でカナダだった。比率もほぼ横ばいの 56%を 占めた。2 位の米国も横ばいの 10%だった。単純に考えれば、カナダのブランドを騙った攻撃が増えた一方で、 米国のブランドを騙った攻撃がかなりの規模で減少していると考えられる。 142,812 125,006 126,797 130,946 144,694 240,520 516,702 201,082 284,367 186,438 101,662 134,720 123,929 0 100,000 200,000 300,000 400,000 500,000 600,000 2014-Q4 2015-Q1 2015-Q2 2015-Q3 2015-Q4 2016-Q1 2016-Q2 2016-Q3 2016-Q4 2017-Q1 2017-Q2 2017-Q3 2017-Q4 カナダ 56%
フィッシング攻撃のホスト国別分布(月次) 2017 年第 4 四半期、米 国のリソースを使った攻撃 の件数は全体の半数ほど で、引き続き最高位を占め た。2 位以下に豪州、ウク ライナ、日本といった珍し い顔ぶれが並んだことが 目を惹く。 ※ いずれもフィッシングサイトをホストしたISP やフィッシングドメインを管理していた登録事業者の所在地別分類 日本でホストされたフィッシングサイト(月次推移) 日本でホストされたフィッシングサイト数は、第 4 四半期に入って再び増加した。この結果、通年で 1,012 件と 初めて大台を突破した。 フィッシング対策協議会によると、国内で報告されたフィッシング攻撃件数も、年間で 1 万件に迫る勢いだった。 世界では、マルウェア攻撃が増えフィッシングは減っているが、(RSA の調査と合わせても)日本は世界とは一線 を画した動きを見せたといえるだろう。個別の攻撃は、引き続き金融機関や Apple、Amazon、LINE、Microsoft を騙ったものが大半を占めたが、仮想通貨取引所のbitFlyer を騙る攻撃への注意喚起が出たのが目を惹いた。 ※ この報告は、AFCC が把握している攻撃の数です。 本ニュースレターに関するお問い合せ先 EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子
Tel : (03)6830-3234(直通) eMail : [email protected]
11 224 213 180 6 14 3 27 10 104 25 73 133 0 50 100 150 200 250 16年12月 17年1月 17年2月 17年3月 17年4月 17年5月 17年6月 17年7月 17年8月 17年9月 17年10月 17年11月 17年12月 米国 51% ロシア 6% ドイツ 4% 豪州 4% カナダ 3% ウクライナ 3% 香港 2% 英国 2% 日本 2% ブラジル 2% その他 21%
サイバー犯罪グロッサリー
APT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。
Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。
CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。
C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。
Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザーの設定ファイルを変更して不正な コードを実行させることから、この名がついた。 Nonpolite マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。
RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。
SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証やSSL にも対応している。
Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。
SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。
Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。
ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。
