フィッシングという言葉が 1996 年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途です。 RSA は 2003 年よりオンライン犯罪対策サービス「RSA FraudAction」を提供しており(国内提供は 2006 年から)、 トロイの木馬などマルウェア攻撃を検知し、フィッシングサイトを閉鎖します。FraudAction の中核である AFCC (Anti-Fraud Command Center
:
不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時間 365 日 体制で数カ国語を駆使し、マルウェア解析、犯罪手口の解明に従事しています。Quarterly AFCC NEWS は、AFCC が定期的に公開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報、統計情報をまとめたもので す。(2016 年第 4 四半期版 : 2017 年 2 月 8 日発行) 今号のトピック 1. フィッシング犯御用達、12 のフィッシングスキームとテクニック 税還付スキームやローカル HTML スキームといった古典的な手法から、ランダム・フォルダ生成、MITM、ファ スト・フラックス、モバイルマルウェアとの組み合わせなど洗練されたテクニックの応用例まで、様々なスキーム、 テクニックを一挙に公開する。 2. 今月の統計 2016 年のフィッシング攻撃は極めて活発で、記録ずくめの一年だった。年間攻撃件数は 1,242,671 件に達した。 2015 年に累計攻撃件数が初めて 50 万件を超えたが、翌年には 2.4 倍にもなったことになる。2016 年最後の 四半期も、昨年の年間攻撃件数に匹敵する第 2 四半期の記録には及ばないものの、前年同期比 2 倍、過去 2 番目の件数にあたる多さであった。 対照的にトロイの木馬を用いた攻撃の年間累計は、昨年の 4 分の 1 ほどに留まっている。 1. フィッシング犯御用達、12 フィッシングスキームとテクニック 1. 税還付スキーム 様々な国の国税庁を装って税還付金通知を送りつけるもので、多くのフィッシング犯が愛好している。リンクを クリックすると、国税当局のサイトそっくりの偽サイトにその国のすべての銀行の一覧が表示され、訪問者は口座 のある銀行を選び、還付を受け取るための個人情報を入力するように促される。標的が持つ複数の銀行口座の 情報を一度に入手できるよう工夫した手口はフィッシング犯からとても好まれている。 2. 大量のフィッシング攻撃 標的を誘導するフィッシングサイトを複数用意し、大量のフィッシングメールに無作為に組み込む大規模攻撃も よく使われる。フィッシングサイトを 1、2 種類用意する通常の攻撃に比べ、サイトが検知・閉鎖されても活動時間 を稼げるのが特長。フィッシングページを設置するフォルダ名をランダム化すれば、より長い活動時間を稼げる。 閉鎖する立場で見ると、ドメイン登録業者がフィッシング犯に金で買われていると協力が期待できず、サイト閉鎖 は難しくなる。一方で、乗っ取ったサイトを使っている場合は、乗っ取られたサイトの協力は得やすい。 3. ランダム・フォルダ・ジェネレータ 標的毎に専用のフィッシングページを自動生成するタイプのフィッシングキットの存在が確認されている。標的 がフィッシングリンクをクリックする度に、標的のメールアドレスや IP アドレスを使ったランダムな名前のフィッシンTHREAT
グ URI を新規に生成する。標的に必要な情報を入力させ、内容をドロップサイトや情報収集用のメールアドレス に送ってしまったら、ただちに(証拠隠滅のため)フォルダは削除される。 フォルダが生成されると、必要 なリソースファイルがフィッシング キットからコピーされる。新しい フォルダを作らずに、ベースの フォルダにアーカイブファイルを 置いて、リソースファイルをそこ から抽出する方法もある。 このスキームは、攻撃側には 運用しやすく、検知、閉鎖する側 には対処が難しい。検知した フィッシングページは数分後には 証拠隠滅のために削除される。 この対応は、セキュリティ担当者 にサイトが閉鎖されたと誤認させ る可能性もある(実際には、サイトはオンラインで活動し続けている)。このスキームに対処するには、大本の フィッシングサイトとリソースを含むベースディレクトリ(もしくはアーカイブファイル)を検知した上で閉鎖する必要 がある。 4. ローカル HTML スキーム 一般に「ローカル HTML」と呼ばれるフィッシングスキームは、メールメッセージに添付された HTML を使う手口 である。添付ファイルを開いた標的は、表示されたフィッシングページに個人情報を記入するよう求められる。 フィッシングサイトの内容は、一つの HTML ファイルに集約されている。ただし、データを取り扱うスクリプトや フォームタグ属性のハンドリングやドロップポイントの URL などは含まれない。前者のスクリプトは、第三者の提 供するサービスが使われる場合や、乗っ取られた第三者のサーバ上でスクリプトが実行されることが多い。いず れの場合でも、データは通常フィッシング犯の情報収集用のメールアドレスに送られる。 サイトを閉鎖する側の視点に立つと、データ収集用のスクリプトが乗っ取られたサイト上で運用されていた場合、 サイトの閉鎖は難しい。アクセスしても不正コンテンツも表示しないため、ホスティング環境がオフラインだと判断 されてしまうためである。一方で、オンラインフォームサービスが使われている場合、事業者は犯罪者のアカウン ト閉鎖に協力的なので、まだ対処しやすい。 5. URL にデータを BASE64 でエンコードする ほとんどの有名ブラウザは URI スキームと呼ばれる機能をサポートしている。この機能を使えば、ウェブペー ジの内容をブラウザのアドレスバーに表示される文字列に BASE64 方式でエンコードできる。フィッシング犯たち は、このエンコード機能を、通常のオンラインホスト型のスキームに加えて、ローカル HTML スキームでも愛用し ている。オンラインでホストする際は、この機能はメインのフィッシング URL を隠蔽するのに役立つ。URI のデー タは、JavaScript を使って、アドレスバーに注入される。 6. MITM フィッシング MITM(Man-In-The-Middle)技法を応用したスキームは、犯罪者たちにとって、より正確な情報を獲得できる最 も洗練されたフィッシング方法の一つである。MITM フィッシングとは、標的がフィッシングサイトを正規のサイトと 図-1: ランダム・フォルダ・ジェネレータを使ったスキーム フィッシング メール •フォルダを自動生成する URLに標的を誘導 フォルダ生成 スクリプト •新しいフォルダを生成 •必要なファイルをコピー •標的を生成したURLに転送 生成された 新フォルダ •フィッシング サイトを表示
誤認して通信している間に、フィッシングサイトが本来の利用者(標的)になりかわって正規のサイトと通信をして、 不正行為を実行する。犯罪者にとって、MITM フィッシングを選ぶメリットには以下のとおり。 正規のサイトにログインして、窃取した信用情報を検証することができる 標的の口座残高を確認した上で、アカウントを閲覧することもできる 電話番号、住所など、より多くの個人情報を入手できる さらに、MITM フィッシングは HTTP プロキシと併用できるので、フィッシングサイト自身の IP アドレスを隠蔽し たり、標的の居住国からのアクセスを装うために IP アドレスを詐称することもできる。こうすれば、仮に、正規サイ トの不正監視システムが、不審な活動や顧客や金融機関の所在地以外からのアクセスを検知しても、ログに残 る情報は限られるため、犯人にたどり着くのは困難である。また、標的の口座残高が所定の金額を上回っている 場合に、預金を同じ銀行内の別口座に不正送金するものもある。ただし、こうしたキットを使うには、プログラミン グスキルや正規サイトのリバースエンジニアリングスキルが求められるため、まだ比較的珍しい。 MITM フィッシングは、防止する側からすると、うまくいって不正送金は阻止できても、クレデンシャル情報は盗 まれ、下手をすれば口座の預金を瞬時に持ち逃げされてしまう、極めて深刻な脅威である。 7.インドにおけるフィッシング+モバイル・マルウェア RSA は、インドの銀行利用者を狙う新たなフィッシング・トレンドを確認、調査した。前述の国税当局サイトを 騙った税還付スキームのプロセスの最後に、標的の電話にショートメッセージを送るというプロセスが追加されて いるのが特徴である。送られるショートメッセージには、不正な APK(Android 向けのモバイル・マルウェアのアー カイブファイル)をダウンロードするリンクが含まれている。この手口には、ランダム・フォルダ・ジェネレータ、 BASE64 による URI へのデータ埋め込み、税還付スキームなど、すでに紹介してきたスキームやテクニックの多 くが採り入れられている。 図-2: フィッシング+モバイルマルウェアのスキーム フィッシングメール •標的が転送用リンクを クリック 転送 •標的を外部フレームURLに データURIを使い転送 •ソースコードは難読化 外部フレーム •内部フレームのURL取得 のためSQL DBと交信 •内部フレームURLをセット フォルダー・ジェネレータ •ランダム名の新フォルダ を作りファイルをコピー •新フォルダに標的を転送 フィッシングサイト •標的に銀行名や電話番号 などの入力を要求 •奪ったデータを ドロップサイトに転送 ショートメッセージ •スマートフォンを侵害 するマルウェアの ダウンロードリンク入り
同じパスの下に新しい フォルダを生成する通常 のフォルダ・ジェネレータと は異なり、親フォルダも複 数用意し、そこからランダ ムに選んだ上で、無作為 に命名した新しいフォルダ を生成、標的毎に新しい フィッシングページを生成 する。そのために、まず標 的を外部フレームに転送 し、そこから複数用意した 内部フレームの一つをラ ンダムに選び、ランダム・ フォルダ・ジェネレータを 起動するという二段構成になっている。図-3 は、税還付プロセスの開始時に表示される、利用している銀行を一 覧から選ぶように促す画面である。 フィッシングサイトの設定に必要な以下の情報(リソースの URL など)の設定はファイルに記載されている。 正規サイトを騙るために必要な画像ファイル(本物のサイトにアクセスすると検知されるきっかけとなるため) 窃取したデータを受信・保管しておくドロップサイトの URL 悪性 APK を展開するための SMS 送信スクリプトにつながる URL 標的に送る短縮 URL 標的にフィッシングプロセスの終わりに見せるページを構成するファイル ひとたび標的がすべてのフィッシングページを閲覧し終えると、フォルダは削除されるが、さらに「モバイル認証 のため」などと偽って電話番号を入力させた上で、クリックすると悪性の APK ファイルがダウンロードされるリンク を含んだショートメッセージをその番号に送る。 最終的に標的のスマートフォンがマルウェアに感染してしまうため、この手口のもたらす被害は通常のフィッシ ングを上回る。モバイルマルウェアは、フィッシングサイトでのデータ窃取後も、長期にわたりスマートフォンから データを盗み続ける。また多くのオンラインバンキングサービスがショートメッセージを使った二要素認証を採用 しているが、スマートフォンがマルウェアに感染しているため、この認証の制御まで犯罪者に奪われてしまう。 8. ファスト・フラックス・フィッシング RSA は、最も古く最も洗練されたスキームの一つ、ファスト・フラックス・フィッシング(別名、MS-Redirect、 Rock-Phish、O-late)の調査を続けている。フィッシング攻撃に使うドメインのアドレスを複数の IP アドレスの中か ら数分単位の周期でランダムに切り替える、いわゆるファスト・フラックス・ネットワーク上で運用することから、こ の名がある。ファスト・フラックス・ネットワークは(犯罪者向けにサービスとして提供される場合が多いため)、ISP、 ホスティング事業者はサイトの閉鎖に協力的ではなく、ドメイン登録者に働きかける必要がある。 このスキームでは、フィッシングとマルウェアをホストするために、ドメインが自動的に生成される。一回の攻撃 でより多く稼ぐために、それぞれのドメインはいくつかの組織を標的にした数十の URL を含んでいる。ファスト・フ ラックスの名を冠する他のスキーム同様、複数の IP アドレスを持つ構造は、大規模なボットネット(ゾンビコン ピュータの集合体)上に作られている他、IP アドレスの無作為変更を実現するために記録の有効期間を短くした 特製の DNS が含まれる。このファスト・フラックス・フィッシングは、今のところ、他のファスト・フラックス・スキーム 図-3: フィッシングサイトの銀行選択要求画面
ほど広まっていない。 以下のようなフィッシング・テクニックも報告されている。 9. 位置情報とメールアドレスによる標的のフィルタリング 一部のフィッシング犯は、(捜査当局など招かれざる対象を排除するために)位置情報などの条件を満たす標 的のみを対象に絞り込もうとする。実際、窃取したメールアドレスとあらかじめ入手したユーザの居住地域がわ かっているメールアドレスのリストを比較して、特定の地域に居住していることが確認された場合のみ、攻撃対象 とするフィッシングサイトの存在が確認されている。 また、メールアドレスをパラメータに組み込んだ URL にアクセスした場合だけに、フィッシング攻撃を実行し、そ れ以外(フィッシングメールのリンクをクリックせずに、直接フィッシングサイトの URL を入力してアクセスしてきた 利用者で捜査当局やアナリストなど)を排除するケースも確認されている。 10. 統計情報の収集 フィッシング犯が攻撃に好んで実装する機能の一つに、画面解像度、IP アドレス、ブラウザの言語設定などの 統計情報の収集がある。たいていはフィッシングキットの機能が使われるが、オンラインサービスが使われること もある。収集した統計情報を装ってアクセスすることで、こうした統計情報を"指紋"代わりとして顧客とそれ以外を 識別しようとする正規サイトのセキュリティ監視ソリューションの目を欺こうとするのである。 11. 419 詐欺 419 詐欺(ナイジェリア刑法 419 条に抵触する犯罪)は、インターネット上に最も古くからある詐欺行為の一つで ありながら、(驚くべき事に)今なお多くの人々が、”わずかなお金を預けてくれれば、すぐに数百万ドルをあなたと 分かち合う”などという、単純かつ滑稽な作り話の犠牲者となっている。このスキームに、よりもっともらしさや信 頼感を付加するために、419 詐欺犯達がオンラインバンキングサイトを装ったフィッシングサイトを立ち上げた上 で、標的の口座にログインに必要なアカウント情報を手に入れようとしている。盗んだ情報で口座にログインすれ ば、標的の名前がわかり、口座の預金額も確認できる。預金の多い標的に実名入りのメールを送ることができる。 ひとたび標的からわずかばかりの信用を勝ち取れれば、残る標準的な 419 詐欺と変わらない部分はより簡単に 実行できるのである。 12. 狙いはスマートフォンへ フィッシング犯達は、標的となる一般ユーザがこれまで以上に頻繁にメッセージをチェックするスマートフォン時 代の到来を悪用しようとしている。オンライン犯罪に関する一般の認知度が高まっているにもかかわらず、フィッ シングは今なお最も危険なサイバー脅威の一つであり続けている理由の一つがそこにある。 まとめ フィッシング攻撃の実行に困難はない。ホスティングに必要なもの(ドメイン、IP アドレスなど)やフロントエンド、 バックエンドのソフトウェアなどは、普通にウェブサイトを開設するのと変わりない。ごく僅かなウェブ開設知識さ えあれば、フィッシングサイトは簡単に開設できる。単純なフィッシングサイトなら、正規サイトのログインページ (フロントエンド)をコピーし、アクションスクリプト(入力・送信された情報を取り扱う)を差し替えればいい。この準備 の単純さゆえに、フィッシングはオンライン犯罪者から長く愛用されているのである。
2. 今の統計
□ 銀行利用者を狙うトロイの木馬の認知件数(四半期推移) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は以下の通り。第 3 四半期は、 減少続きだった第 2 四半期までから一転増加したが、第 4 四半期は第 3 四半期の半分以下に減少した。 なお、年間の累計認知件数は、2015 年の 6,502 件から 1,715 件とおよそ 4 分の 1 に減少した。 ※ 亜種は概ね攻撃者ごとあるいは攻撃のたびに新たに作成されるため、攻撃の活性度を反映する。 □ トロイの木馬を使った攻撃に用いられた通信ノード(URL)の認知件数の推移(四半期推移) トロイの木馬の感染、更新、窃取した情報の送信などの目的で用いられた URL の認知件数。こちらも、トロイ の木馬の認知件数と同様の傾向で推移しており、前四半期から約 3 分の 1 に減少した。 また、2016 年の年間累計件数も、2015 年の 17,876 件から 4,444 件と 4 分の 1 に減少している。 ※ 通常、亜種 1 種に複数の URL が関連づけられているので、亜種の件数を URL の件数が大幅に上回る。 436 488 295 665 272 0 100 200 300 400 500 600 700 2015-Q4 2016-Q1 2016-Q2 2016-Q3 2016-Q4 1,009 1,673 735 1,526 510 0 200 400 600 800 1,000 1,200 1,400 1,600 1,800 2015-Q4 2016-Q1 2016-Q2 2016-Q3 2016-Q4□ 認知されたトロイの木馬亜種の分類
2016 年第 4 四半期、世界を対象とした攻撃への関与が確認されたトロイの木馬について、RSA AFCC が認 知したものを原種別に分類した結果。
前四半期、長く首位を占めていた王者 Zeus が、その座を Vawtrak に譲ったが、今回はその Vawtrak が一気 に姿を消し、Ransom Ware がトップに立った。 変動の激しいなか、また Zeus の転落とは対照的に、 Citadel は 21%で三強の一 角を守っている。 マルウェア攻撃のホスト国別分布(月次) 前四半期、米国が比率を 10%まで下げ、ロシアに並ばれたのは、大きなトピックだったが、今回は再び米国が 抜きんでた首位に立つ一方で、ロシアは 5 位へと大きく順位を下げた。前回 9 位のトルコが 2 位に入ったり、圏外 だった中国が 3 位に入る一方で、3 位だったウクライナは 8 位に、4 位だったフランスが圏外に去るなど、今回も 順位の変動が激しかった。 ※ いずれもホストした ISP や フィッシングドメインを管理していた登録事業者の所在地別分類 Ransom Ware 39% Citadel 21% ISR Stealer 19% Zeus 13% Pony Stealer 4%
Beta Bot 1% Mobile Malware 1% その他 2%
米国 31% トルコ 7% 中国 5% ドイツ 5% ロシア 4% カナダ 3% 英国 2% ウクライナ 2% ルーマニア 2% その他 40%
フィッシング攻撃数(四半期推移) 第 4 四半期のフィッシング攻撃件数 284,367 件は、前四半期比 41%増、前年同期比 96%増で、過去 2 番目 の多さとなった。こう書くと予想外の多さに思われるかも知れないが、この四半期がホリデーシーズンであったこ とや第 2 四半期に 50 万件を超えたことを思えば、驚くにはあたらないだろう。 2016 年の累計攻撃数は 1,242,671 件に達した。ちなみに、2015 年の累計攻撃件数が初めて 50 万件を超え た、と言っていたのが、2.4 倍近くに増えたことになる。それまで一度も超えたことのない 20 万台の大台をすべて の四半期で上回り、第 3 四半期はその 50 万件超えという未曾有の規模を記録した一年であった。 フィッシング攻撃を受けた回数(国別シェア) 2016 年第 4 四半期も、最も多く攻撃を受けたのは米国のブランドの利用者で、第 3 四半期と同じ比率を保っ た。2 位のカナダも同じ 13%だった。5 位だった南アフリカは比率を保ったが 3 位に上がり、インドは微減ながら 4 位を維持、3 位だったスペインが微減の結果 5 位など、実質的には変動は少なかった。 141,344 108,454 147,359 100,510 142,812 125,006 126,797 130,946 144,694 240,520 516,702 201,082 284,367 0 100,000 200,000 300,000 400,000 500,000 600,000 2013-Q4 2014-Q1 2014-Q2 2014-Q3 2014-Q4 2015-Q1 2015-Q2 2015-Q3 2015-Q4 2016-Q1 2016-Q2 2016-Q3 2016-Q4 米国 54% カナダ 13% 南アフリカ 7% インド 6% スペイン 5% オランダ 4% ブラジル 3% 英国 3% フランス 2% その他 3%
フィッシング攻撃のホスト国別分布(月次) 2016 年第 4 四半期、米国でホスティングされた攻撃の比率は 7 ポイント減ったが、米国集中に変化はない。 ※ い ず れ も フィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類 日本でホストされたフィッシングサイト(月次推移) 2016 年第 4 四半期、日本でホストされたフィッシングサイト数はのべ 57 件だった。第 3 四半期の 77 件から は減少した。通年では 225 件と、一昨年の 361 件、前年の 300 件から 2 年連続で減少となった。 フィッシング対策協議会の発表によると、第 4 四半期の間に報告されたフィッシングの件数は 841 件で、第 1 四半期の 6,332 件以降、第 2 四半期の 2,094 件、第 3 四半期の 1,657 件と 3 四半期連続で減少した。しかし、 10 月以降、LINE、Amazon、ハンゲーム、Nexon、セゾン Net アンサー、Apple などを騙るフィッシングの注意喚 起が繰り返し出ている。また、1 月に入って、フィッシング対策協議会が、米国 Anti Phishing Working Group(以 降 APWG)と協同して運営する、セキュリティ啓発キャンペーンサイト 「STOP. THINK. CONNECT.」ウェブサイト について、不正アクセスによる改ざん被害が報告されている。
※ この報告は、AFCC が把握している攻撃の数です。AFCC が毎月発表する「RSA Monthly Online Fraud Report」 が Web に掲載されています。 60 29 9 43 6 1 3 26 7 44 36 10 11 0 10 20 30 40 50 60 70 12月 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 米国 57% ロシア 5% ドイツ 4% オランダ 3% 英国 3% フランス 3% ポーランド 3% ブラジル 3% イタリア 2% トルコ 2% カナダ 1% その他 15%
本ニュースレターに関するお問い合せ先
EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子
サイバー犯罪グロッサリーAPT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。
Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。
CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。
C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。
Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。 RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。
Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。
SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。
Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確
認されており、Torpig の別名を持つ。
SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、
両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。
Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由
で感染し、重要インフラに関わるシステムを麻痺させようとする。
ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。
Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター・ブート・レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。 最近はサービスとしても提供されている。
