トロイの木馬のインストーラーとして、マクロ付きPDFやWORDファイル、画像付きEXCELファイルによる標的型攻撃が増加

トロイの木馬のインストーラーとして、マクロ付き

PDF や

WORD ファイル、画像付き EXCEL ファイルによる

標的型攻撃が増加

Quarterly AFCC NEWS：2015

年第

2

四半期版

_{（Vol. 94）}

フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の一 途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監 視 を 開 始 し 、 ホ ス テ ィ ン グ 事 業 者 と 協 力 し て フ ィ ッ シ ン グ サ イ ト を 閉 鎖 し ま す 。 FraudAction の 中 核 で あ る AFCC(

Anti-Fraud Command Center：

不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時 間 365 日体制で数カ国語を駆使し、対策に従事しています。Quarterly AFCC NEWS は、AFCC がまとめた四半期レ ポートからトピックと統計情報をまとめたものです。（2015 年 8 月 12 日発行） 今号のトピックの概要 《今号から複数のトピックをまとめて紹介します。》  添付ファイルに潜む脅威の深刻化  Zeus の父親が機能強化されて再発売  古くて新しいエクスプロイト、有名ツールのソースコードが流出  「個人情報売ります」:英国地下市場が活性化  詐欺師のためのオンラインギャンブルサイト攻略ガイド  スマートフォン用のメッセージングサービスを悪用するネット犯罪者 今号の統計のハイライト 《今号から、マルウェアに関する情報を新たに紹介します。》 2015 年第 2 四半期、トロイの木馬による攻撃はほぼ横ばいだが、フィッシング攻撃は微増傾向が続いている。 最も多く用いられているトロイの木馬は、相変わらず Zeus である。攻撃をホストしている国は、フィッシング、トロ イの木馬を問わず米国だが、前者においては 5 割近い比率を占めているが、後者については 4 分の 1 ほどと なっている。



今号のトピック  添付ファイルに潜む脅威の深刻化 2014 年末から、マルウェアに感染させ るマクロを仕込んだ PDF や Word 文書を 添付したメールを使った攻撃が、ますま す増えている。さらに、近ごろ、大量の JPEG 画像を装ったファイルを貼り付けた Excel のワークシートの拡散も確認され ている。"chika"という名前のこのワーク シートは、アタッチメントとおぼしきものを 同梱し、そのアタッチメントを開くために 図-1: トロイの木馬を感染拡大させるための Excel ファイル

使うアクティベーション･ボタンが付いている。このボタンをクリックすると、Excel のマクロ機能を有効にするよう メッセージが表示される。指示に従うと、あっという間にトロイの木馬 Pony Stealer がインストールされる。この Pony Stealer は、感染した PC から様々な情報を窃取すると同時に、金融関連の情報を窃取するトロイの木馬 Banker までインストールしたりもする。  『Zeus の父親』が機能強化されて再発売 銀行利用者を狙うマルウェア Kronos が最初に報告されたのは、2014 年 7 月、ロシア語圏の地下フォーラム において 7,000 米ドルで発売されたときである。Kronos という名は、ギリシャ神話に登場する Zeus の父親を指 すことから、あの伝説的"成功"を納めたマルウェアにあやかろうというのであろう。

Kronos は、サーバ間通信の暗号化やすべての主要ブラウザに対応する HTML & JavaScript インジェクション に対応している(正規サイトアクセス時に、改変ページを表示し、PIN 情報や秘密の質問の答えを窃取する)。 他にも、ステルス機能や他のトロイの木馬、セキュリティソフトによる干渉を拒絶し、サンドボックス環境での実行 を拒否するための Ring3 ルートキット機能も組み込まれている。

RSA が 2015 年 2 月に Kronos と関連のある C&C サーバを特定した後、このサーバもマルウェアも姿を消し ていた。しかし、再び Kronos が地下フォーラムで発売されているのを、RSA は発見した。そのオファーとは、アッ プデート、完全サポート、マニュアル類の永年無償提供が付いて、前回の半額以下の 3,000 ドル(支払いはビット コイン限定)である。  古くて新しいエクスプロイト、有名ツールのソースコードが流出 エクスプロイトキットとは、PC が内包する脆弱性を発見し、悪意(たいていはマルウェアの感染)目的でエクスプ ロイト(攻撃)を自動生成する犯罪者の武器である。ここ数年、その標的は、もっぱら Adobe Reader、Java の実 行環境、Adobe Flash Player の脆弱性だった。登場してからずいぶん時が過ぎたが、今も情報セキュリティ ニュースのフィードは、エクスプロイトの話題であふれている。最近の調査では、エクスプロイトが狙う脆弱性の少 なくとも 1/3 は 2010 年には既知のものだという。それが有効ということは、4 年以上も更新されていない PC が、 世の中には今なおあふれているということになる。たいていのソフトウェア･ベンダーは脆弱性が確認されれば、 速やかにパッチや更新を提供するが、それを適用するかどうかは、使う側次第。利用者側の意識が問われてい る。

最近、世界で最も利用されているエクスプロイトキットの一つ、RIG Exploit Pack のソースコードの流出が確認 された。これに伴い、RSA は関与が疑われるロシア語圏の活動家を追っている。検証の結果、RIG Exploit

Pack によると見られるエクスプロイトが 1 種類のみで、すべてバックエンドサーバ上で動作していたことから、流 出したソースにエクスプロイトに関わる部分がないという報告もある。ともあれ、強力なマルウェアのソースコード が流出すると、その改造版による脅威が増加するため、警戒を強めている。

※トレンドマイクロの報告した「Evolution of Exploit Kits」で 4 位にランクされている。  「個人情報売ります」:英国地下市場が活性化 RSA では、近ごろ、英国市民の個人情報を扱う事業者が大量に発生していることを確認している。彼らは、そ の筋で、「fullz」と呼ばれるクレジットカード情報と個人特定可能情報（PII)のセットに加え、生年月日、旅券情報、 旅券のスキャン画像などを販売している。こうした PII は、ネット犯罪者たちが本人確認プロセス(不正に入手した クレジットカード情報や銀行口座情報、様々なサービスのオンラインアカウントの不正利用に対する防壁)をパス するために悪用されることになる。  ネット犯罪者のためのオンラインギャンブルサイト攻略ガイド RSA では、オンラインギャンブルサイトで不正を働く者向けの一対のガイドブックが地下サイトで流通している のを確認している。価格は 200 ドルで、一方は 48 ページの小冊子仕立てで、もう一方は非公式なヒントやトリック 集となっている。例えば、「カードホルダーの本人確認が甘いので、欧州のサイトは最高(特に、スペイン、フラン ス、ドイツ、オーストリア、イタリアなど)。逆に面倒なのは、米国、英国、カナダ」などの情報が掲載されている。他 にも、デポジットの預け入れや引き出し、口座間での移し替えの方法といった、オンラインポーカールームの口座 に関する詳細情報も含まれている。これらのガイドは、日付から 2 年以上前のものだが、その内容は現在でも役 に立つ可能性がある。このガイドの作者は、「この手のサイトには、たいてい何がしかの脆弱性があるものだ。そ れを利用できるかどうか、君次第だ」と言っている。  スマートフォン用のメッセージングサービスを悪用するネット犯罪者 RSA は近ごろ、窃取したクレジットカード番号や侵害した口座情報、サイバー犯罪用のツールなどの宣伝を手 がける、あるネット犯罪者が、顧客との連絡方法として、旧来からあるメールや Skype、オンライン･メッセージン グ･サービスに加えて、新しい方法を採用していることを確認した。それは、WhatsApp という米国で流行している スマートフォン用アプリである。 図-3: 英国の生年月日情報販売サイト

 今号の統計レポート

 銀行利用者を狙うトロイの木馬の認知件数(四半期推移) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は以下の通り。全体としてはほ ぼ横ばいで推移している。 ※ 亜種は概ね攻撃者ごとあるいは攻撃のたびに新たに作成されるため、攻撃の活性度を反映する。  トロイの木馬を使った攻撃に用いられた通信ノード(URL)の認知件数の推移(四半期推移) トロイの木馬の感染、更新、窃取した情報の送信などの目的で用いられた URL の認知件数の推移。トロイの 木馬の亜種数の推移とは必ずしも連動しておらず、ここのところ増加傾向にある。 通常、亜種 1 種に複数の URL が関連づけられているので、亜種の件数を URL の件数が大幅に上回る。 2,857 2,519 2,183 2,609 2,583 0 500 1,000 1,500 2,000 2,500 3,000 2014-Q2 2014-Q3 2014-Q4 2015-Q1 2015-Q2 5,871 4,643 6,976 5,871 7,775 0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 8,000 2014-Q2 2014-Q3 2014-Q4 2015-Q1 2015-Q2

 認知されたトロイの木馬亜種の分類 2015 年第 2 四半期、世界を対象とした 攻撃への関与が確認されたトロイの木馬 について、RSA AFCC が認知したものを原 種別に分類した結果。Zeus は全世界にお いて独点的な地位を占め続けている。 2012 年 5 月に初めて確認された Tiny Banker こと Tinba は、この半年余りで再来 が目立っている。  マルウェア攻撃のホスト国別分布(月次) トロイの木馬と通信していた URL がホスト されていた国毎に分類した結果。フィッシン グ攻撃がホストされている国は米国が半数 近くを占めているが、こちらはそれほどでは ない。 ※ いずれもホストした ISP やフィッシングドメイ ンを管理していた登録事業者の所在地別 分類である。  フィッシング攻撃数(四半期推移) 2015 年第 2 四半期、AFCC が認知したフィッシング攻撃件数は 126,797 件で、前四半期比で微増、前年同期 比では 14%の減少となった。 125,342 144,334 105,183 81,961 99,699 125,212 141,344 108,454 147,359 100,510 142,812 125,006 126,797 0 20,000 40,000 60,000 80,000 100,000 120,000 140,000 160,000 2012-Q2 2012-Q3 2012-Q4 2013-Q1 2013-Q2 2013-Q3 2013-Q4 2014-Q1 2014-Q2 2014-Q3 2014-Q4 2015-Q1 2015-Q2 Zeus 52% Citadel 23% Dyreza 6% SR Stealer 5% Beta Bot 4% Bugat v4 3% Pony Stealer 2% Tinba 2% その他 3% 米国 26% ウクライナ 9% オランダ 8% ロシア 8% 南アフリカ 5% 香港 5% フランス 4% ドイツ 3% 英国 3% ブラジル 3% その他 25%

 フィッシング攻撃を受けた回数(国別シェア) 2015 年第 2 四半期も全体の 60％の攻撃が 米国のブランドに対して向けられた。中国が 12％を占め 2 位に入り、英国は 6％の 3 位だっ た。  フィッシング攻撃のホスト国別分布(月次) 2015 年第 2 四半期も、世界の攻撃の 45％ は米国内でホスティングされていた。香港が 16%を占め 2 位、3 位中国、4 位ドイツ、5 位英 国と続く。 ※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事 業者の所在地別分類である。  日本でホストされたフィッシングサイト(月次推移) 2015 年第 2 四半期、日本でホストされたフィッシングサイト数はのべ 35 件だった。第 1 四半期の 55 件と比較 すると、6 割ほどに減少しており、昨年の水準に比べて大幅に減少している。 43 42 32 25 15 30 45 20 24 11 18 8 9 0 5 10 15 20 25 30 35 40 45 50 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月 5月 6月 米国 60% 中国 12% 英国 6% カナダ 5% インド 4% オランダ 3% スペイン 3% 南アフリカ 2% コロンビア 2% ペルー 1% の他28ヵ国 3 米国 45% 香港 16% 中国 4% ドイツ 3% 英国 3% オランダ 2% インド 2% 韓国 2% コロンビア 2% フランス 2% の他70ヵ国 19

フィッシング対策協議会の発表によると、第 2 四半期の間に報告されたフィッシングの件数は、3,806 件で、第 1 四半期の 3,347 件から 13.7%増加した。この間、三菱東京 UFJ 銀行、新生銀行、セブン銀行、ゆうちょ銀行、 みずほ銀行、三井住友銀行、クレディセゾンといった多くの金融機関の名前を騙るフィッシング攻撃に関する注 意喚起がなされている。 日本年金機構で発生した情報漏えい事案を受けて、多くの行政機関やその外郭団体で集中点検が行われた 結果、法務省、厚労省、経産省などの関係団体で多くのマルウェア感染とそれに伴う不正アクセス事案の発生 が確認されている。具体的には、国立情報学研究所、石油連盟、健康保険組合連合会、国立医薬品食品衛生 研究所、国立精神･神経医療研究センター、ひろしま国際センター、海外産業人材育成協会、全国健康保険協会、 中間貯蔵・環境安全事業といった名前が挙がっている。 同様の事案として、早稲田大学でマルウェア感染による個人情報漏えいが確認されたほか、東京商工会議所 や香川大学医学部付属病院や九州歯科大学付属病院においても、マルウェアの感染や不正アクセスが確認さ れている。JPCERT/CC や地元警察からの情報提供によって、事案が発覚するケースが目立っている。 この他、ネパール大地震や韓国での MERS 感染拡大といった話題を悪用したフィッシングメールも、数多く確 認され、注意喚起が発信されている。

AFCC NEWS のバックナンバーは Web でご覧いただけます。

http://japan.emc.com/security/rsa-fraud-prevention/rsa-fraudaction.htm#!リソース 本ニュースレターに関するお問い合せ先

EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子

Tel ： (03)6830-3234（直通）、（03）6830-3291（部門代表） eMail ： tomoko.shimamiya@rsa.com Twitter ： @RSAsecurityJP WEB ： http://japan.emc.com/rsa



サイバー犯罪グロッサリー

APT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。

Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。

CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。

C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。

Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。

RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。

SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。

Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。

SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。

Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。

ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。

Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター･ブート･レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。 最近はサービスとしても提供されている。