マルウェアツール販売、アングラ市場からSNSへツールが簡単に買えるようになった現状をレポート

(1)

1

マルウェアツール販売、アングラ市場から SNS へ

ツールが簡単に買えるようになった現状をレポート

Monthly AFCC NEWS：2014 年 5 月号（Vol.82）

フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の一途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監視を開始し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核である AFCC （

Anti-Fraud Command Center：

不正対策指令センター）では、200 名以上のフロード・アナリストが 24 時間 365 日体制で数カ国語を駆使し、対策に従事しています。AFCC NEWS は、フィッシングやオンライン犯罪関連ニュースからトピックを厳選し統計情報と共に AFCC がまとめたものです。（2014 年 5 月 28 日発行）

今月のトピック

今月は、『FRAUDSTER SELLS MALWARE TOOLS ON THE OPEN WEB ～オープンなウェブサイトでマルウェアを売り込む厚顔なオンライン犯～』と題して、Facebook でスパイウェアのパッケージソフトを販売する開発者について紹介する。今月の統計 4 月のフィッシング攻撃件数は 52,554 件と、3 月の 42,537 件から 24%増加した。昨年の同時期の累計数を約 5 割上回っている (「フィッシング攻撃数（月次推移）」参照)。「フィッシング攻撃を受けたブランド数（月次推移）では、5 回を超える攻撃を受けたブランドの占める比率は 54%と、3 月の 44%から大きく増加し、特定ブランドへの集中攻撃の傾向が戻ってきた。その「フィッシング攻撃を受けたブランド数（月次推移）」の他、「フィッシング攻撃を受けた回数（国別シェア）」、フィッシング攻撃のホスト国別分布(月次)でも、上位を占める国々の顔ぶれや比率がほとんど変わらなかったのも 4 月の特徴である。

今月のトピック『FRAUDSTER SELLS MALWARE TOOLS ON THE OPEN WEB ～オープンなウェブサイ トでマルウェアを売り込む厚顔なオンライン犯～』

RSA は、とある Zeus タイプのトロイの木馬の標本について調査をしている際に、TampStore という名前のオンラインストアで Crown Software という開発元が作成したスパイウェアセットを販売しているのを新たに発見した。もとはと言えば、このショップが運営しているドロップサーバーの発見がきっかけだった。このオンラインショップの運営者にして、スパイウェアの開発者と目される男（以下、オンライン犯と呼ぶ）は、従来のオンライン犯罪者の常識を覆すような、厚顔といっても差し支えのない販促活動を展開している。  オンラインストアが提供する商品ラインアップ このオンラインストアは、合法的なスパイウェアのツールセットと標榜して、多くのパッケージ・ソフトウェアをオープンに販売している。製品には、それぞれが異なる色で識別できるようにするなど、一般のソフトウェアと見まがうようなパッケージデザインが用意されている（図-1 参照）。しかし、これらのツールは、多くの地域において違法となるであろう多くの機能を提供しており、一般にマルウェア開発者によって、感染した PC からデータを窃取するために使われるマルウェアである。

(2)

2 図-2CROWNSOFT の Facebook ページ まずは、そのラインアップを紹介しよう。  TampZusa ブラウザ、メールクライアント、キーロギング、スクリーンキャプチャ、ウェブカメラ、メッセンジャークライアントなどから情報や画像を盗むためのアプリケーション  TampStealer TampZusa に、多くのボーナス機能が追加されたバージョン  TampKelogger Classic 条件に応じて制御でき、ウィンドウタイトルも記録できるキーロガーの基本版  TampKeylogger Premium TampKelogger Classic に、あらゆる機能を追加した最高級バージョン  TampSpammer スパムメール大量同報用の基本的なアプリケーションオンラインストアの広告によれば、最も充実した機能を誇るのは TampStealer のようで、以下の通り、豊富な機能を搭載している。  条件に応じて制御できるキーロギング機能  画面キャプチャー機能（ユーザーによるキャプチャ画像の窃取）  ウェブカメラ映像の窃取機能  ブラウザのパスワード入力窃取機能（Opera、 Chrome、 Firefox、Safari、Internet Explorer、 Netscape に対応）  スパムメールの大量同報機能  サイレント・ダウンローダ1  Avira2 Firewall機能のバイパス機能  マルチクライアント対応のリモート管理機能  FTP サーバや PHP サーバに対するログ送信機能  FileZilla3_{からのデータ窃取機能}  メールクライアントからのデータ窃取機能

（Outlook、Windows Mail、Eudora、IncrediMail、 Netscape に対応） 1 ダイアローグメッセージを出さずに、ファイルを強制的にダウンロードする機能 2 無料のセキュリティソフト 3 クロスプラットフォームタイプの FTP クライアント 図-1 TAMPSTORE

(3)

3  PidGin4_{からのデータ窃取機能}  アプリケーションのアイコン変更機能（変更用アイコンパッケージを同梱）  厚顔な開発者 CrownSoft を開発したオンライン犯は、「moniker wav3」と名乗っている。Wav3 は、Facebook 上で自らの作品を売り込んだり、多くのフォーラムやオープンな SNS 上で自身のメールアドレスを晒すことも厭わない（図-2、図-3 参照）。 RSA では、この wav3 なる人物が、あるルーマニアのコンピュータ・ハッカー・フォーラムに対して数多く投稿していることや、ウェブプログラミングフォーラムで自らの採用を売り込む宣伝を行っていることも確認している。また、RSA は、このアプリケーションの標本の入手にも成功しており、その一部を入手・検証した結果、このマルウェアが fakemailer.net と呼ばれるサービスを使って、wav3 の持つ複数のアドレスにメールを送っていることも判明した。さらには、このオンライン犯が、大胆にも自らのウェブサイトの URL やソフトウェア名の署名をアプリケーションに埋め込んでいることも判明している。  まとめ サイバー犯罪用ソフトウェアツール販売の広告はまったく目新しいものではないが、広告は地下のフォーラムでひっそりと行われてきた。それを、Facebook のような一般の SNS サイトであからさまに広告するというのは、大胆を通り越して、馬鹿げているように思われる。しかし、この人物に限っては、自らが作ったソフトウェアやマルウェアが広く一般に露見することに、恐れや懸念を感じている様子が全く見えない。一方で、既存のプライバシー法が約束している権利が、こうした行為の抑制や妨害につながるかどうかは疑わしいのも事実である。RSA が調査した TampStealer の管理者用コントロールパネルとログファイルからは、ログイン情報を窃取された被害者が 8,145 人に上ることが確認されている。 4 メッセンジャークライアント 図-3: ルーマニアのハッカーフォーラムにおける製品の広告 （本人かもしれない人物の顔写真入り）

(4)

4 今月の統計レポート ◆ フィッシング攻撃数（月次推移） 2014 年 4 月、AFCC が検知した単月のフィッシング攻撃件数は 52,554 件と、3 月の 42,537 件から 24%増加した。これは、前年同期比 95％増にあたり、季節要因(米国で納税シーズンにあたる 4 月に攻撃が増加する) を除いても、サイバー犯罪が活性化している様子が窺われる。その背景には、米国における“オバマケア”を取り巻く民間レベルでの混乱が、詐欺師につけ込む機会を許しているという指摘がある。なお、ここまでの年間累計件数は、過去最高の攻撃件数を記録した昨年の同時期の累計攻撃件数を、すでに 5 万 2 千件以上、およそ 5 割上回っており、そのハイペースぶりが目立っている。 ◆ フィッシング攻撃を受けたブランド数（月次推移） 4 月にフィッシング攻撃を受けたブランドは 319 件と、3 月の 333 件に比べて約 4%減少した。5 回を超える攻撃を受けたブランドの占める比率は 54%と、3 月の 44%から大きく増加した。 3 月にいったん後退した「総攻撃回数が増加した月は、攻撃を受けたブランド数が減って、手ひどく集中攻撃を受けたブランドの比率が増える」という傾向が戻ってきた。なお、初めて攻撃を受けたブランドは 2 件だった。 26,902 36,966 35,831 45,232 33,861 46,119 62,105 42,364 36,875 29,034 36,883 42,537 52,554 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月 311 351 ₃₄₁ 337 322 304 265 344 328 336 287 333 319 148 182 ₁₇₄ 162 ₁₄₉ ₁₅₂ 134 187 ₁₇₇ 170 148 145 171 0 50 100 150 200 250 300 350 400 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月

(5)

5 ◆ フィッシング攻撃を受けた回数（国別シェア） 4 月の特徴は、上位 3 ヵ国が不動のまま（合計比率 83％も変わらず）だった点にある。首位を占めた米国ブランドに対する攻撃の比率 76%は、3 月の 67%から 9 ポイント増加し、2 月の 77％に近い水準まで戻した。その一方で、2 位の英国が 6 ポイント減の 4%、オランダが 3 ポイント減の 3%と比率を下げている。 3 月の顔ぶれとの違いで言えば、インド、コロンビアに代わって、南アフリカ、フランスがランクインしている。なお、圏外の 50 ヵ国で残りの 12%を分け合っている（3 月は、13%を 51 ヵ国で分け合った）。 ◆ フィッシング攻撃を受けたブランド数（国別シェア） 4 月に攻撃を受けた米国ブランドの占有比率は全体の 27％だった。3 月に比べて 1 ポイント減少し、相変わらず受けた攻撃件数の比率に比べて少ない状態が続いている。すなわち、攻撃件数の増加がブランド数の増加につながっておらず、特定のブランドの利用者に攻撃が集中している様子が窺われる。2 位の英国、3 位のインドは、それぞれ、変化なしの 9%、1 ポイント減の 6%と、こちらも、上位 3 ヵ国の顔ぶれは変わらず、比率も横ばいとなっている。イタリアが 2 ポイント増で 4 位に入り、3 月に豪州と入れ替わってランク落ちしたカナダも同じ 4 位に復帰した。ランクインした国で占める比率は、3 月の 52%に近い 53%だった。これは、ピークだった昨年 12 月の水準からおよそ 10 ポイント減にあたる水準である。 1%以下の比率を占める国々は、50 ヵ国で 47%を分け合っている（3 月は 48%を 51 ヵ国で分け合った）。米国 27% 英国 9% インド 6% イタリア 5% カナダ 5% その他 50ヵ国 47% 米国 76% 英国 4% オランダ 3% 南アフリカ 3% フランス 2% その他50ヵ 国 12%

(6)

6 ◆ フィッシング攻撃の金融機関分類別分布 4 月、大手銀行の利用者を狙った攻撃の比率は、2 月から 2 ヶ月連続で減少し、過去一年の最低水準となった。 2 月に 12 ポイント増と歴史的な高水準を占めた信用金庫の利用者を狙う攻撃も、3 月、4 月と減少し、平均的な水準に戻っている。その結果、2 月に 5％まで減少した地方銀行に対する攻撃が、過去一年の最大水準にあたる 32％まで増加している。このチャートが反映しているのは、金融機関に対する攻撃量ではなく、狙われた金融機関を種類別に分類した攻撃の発生状況である。また、大半のフィッシング攻撃が、地域を限定しないメーリングリストを利用した大量のスパム配信によるものであることから、全国に幅広く分散している大手銀行の顧客がスパムを受信する確率は高くなる。この全体的な傾向は、2010 年 3 月、それまでの地方銀行への攻撃が大手銀行に向けられるようになって以来、変わらずに続いている。 ◆ フィッシング攻撃のホスト国別分布(月次) 4 月も最も多くのフィッシングをホストした国は米国だった。しかし、その占めた比率は 4 ヶ月連続で 35%と、相変わらず最低水準で推移している。被害側のスタッツだけでなく、加害側においても、2 位以降のドイツ、オランダ、イタリアまで順位は同じ、比率も±1 ポイントと、ほとんど変化がない。トルコ、スペインが圏外に去った一方で、英国、韓国、コロンビア、豪州が戻ってきた。2 月 11 ヵ国、3 月 9 ヵ国、4 月 10 ヵ国と、昨年前半の 6 ヵ国程度に比べると、ランクイン国が多い状態が続いている。 4 月は、全体の 23%を 1%未満の 79 ヵ国で分け合っている（3 月は、30%を 95 ヵ国で分け合っていた）。 ※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類である。 73% 73% 76% 74% 66% _60% 57% 71% 63% 62% 68% 61% _58% 12% 19% 13% 15% _23% 26% _28% 21% _32% 22% 5% 30% _32% 15% 8% 11% 11% 11% 14% 15% 8% 5% 16% 28% 9% 11% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月米国大手銀行米国地方銀行米国信用金庫米国 35% ドイツ 6% オランダ 6% イタリア 6% 英国 5% フランス 5% 韓国 4% カナダ 3% コロンビア 3% 豪州 2% ロシア 2% その他79ヵ国 23%

(7)

7 ◆ 日本でホストされたフィッシングサイト（月次推移） 2014 年 4 月、日本でホストされたフィッシングサイト数は 18 件と、3 月の 40 件から 12 件減少した。この 4 月、フィッシング対策協議会に寄せられたフィッシング報告件数は、1,659 件だった。1 月の 4,656 件、2 月の 2,836 件、3 月の 4,181 件に続べると減少したものの、それでも昨年 12 月以来 5 ヶ月連続で 1,000 件の大台を超えている。それにもかかわらず、悪用されたブランド件数はわずか 14 件に留まっており、引き続き、限られたブランドの利用者が狙われている様子が窺える。なお、このひと月あまりの間に、同協会からは、ゆうちょ銀行、お名前.com、三井住友銀行、スクエア・エニックス(FINAL FANTASY XIV)の利用者に対する注意喚起が出ている。 4 月以降だけでも、三菱 UFJ ニコス、ソフトバンク、パナソニック、ソニーマーケティング、日本バスケットボール協会、セガといった組織のサーバが、不正アクセスを受けたと報じられている。会員の個人情報を窃取する目的と思われるケースもあるが、水飲み場攻撃（主に有名かつ権威のあるサイトに対する、当該サイト訪問者へのマルウェア感染や個人情報窃取を行うための不正改変を仕掛ける攻撃）への活用を企図していると思われるケースも見受けられる。特に、競技団体の公式サイトに対する攻撃は、2020 年の東京五輪開催準備関係者への感染を企図しているという指摘もあり、注意が必要である。

最近も、Internet Explorer や Apache Struts2 などでゼロデイの深刻な脆弱性が報告されており、サポート期限の切れた Windows XP も含めて、ソフトウェア更新を適切に実施することは、サイバー犯罪者に付け入れられないようにためにも、欠かせない要対策項目である。

※この報告は、AFCC が把握している攻撃の数です。

AFCC NEWS のバックナンバーは Web でご覧いただけます。

http://japan.emc.com/security/rsa-identity-protection-and-verification/rsa-fraudaction.htm#!リソース本ニュースレターに関するお問い合せ先

EMC ジャパン株式会社 RSA 事業本部マーケティング部嶋宮知子

Tel ： (03)6830-3234（直通）、（03）6830-3291（部門代表） eMail ： tomoko.shimamiya@rsa.com 2 11 1 39 11 15 3 7 31 26 12 40 18 0 5 10 15 20 25 30 35 40 45 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月

(8)

8



サイバー犯罪グロッサリー

APT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。

Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。

CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化された公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、またそれに使われる画像。

C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。

Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答えなどの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にするため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコードを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。

RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。

SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。

Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確認されており、Torpig の別名を持つ。

SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。

Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由で感染し、重要インフラに関わるシステムを麻痺させようとする。

ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホスティングサービス。

Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めている。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。カーディング不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。ミュール盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだまされて、知らぬ間に犯罪の片棒を担がされている人を指す。ランサムウェア他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター･ブート･レコード)に不正な書き換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェアリシッピングカーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。最近はサービスとしても提供されている。

マルウェアツール販売、アングラ市場からSNSへ ツールが簡単に買えるようになった現状をレポート