フィッシングという言葉が 1996 年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途で す。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監視を 開 始 し、ホ ステ ィン グ事業 者 と協力 してフ ィッ シング サイ ト を閉 鎖 します 。FraudAction の中核である AFCC (
Anti-Fraud Command Center:
不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時間 365 日体制で数カ国語を駆使し、対策に従事しています。Quarterly AFCC NEWS は、AFCC のインテリジェンスレポート からフィッシングやオンライン犯罪情報、統計情報をまとめたものです。(2016 年 9 月 20 日発行)今号のトピック
1. ありきたりな景色に潜む、ロシアと中国のソーシャルメディアにおけるサイバー犯罪 ロシアや中国でも SNS を使ったオープンなサイバー犯罪活動がごく当たり前になっている 2. 最新フィッシング攻撃テクニックの紹介 ・電子財布サービスを悪用した現金化手法を伝授するチュートリアル ・URL 短縮サービス事業者の自動統計表示機能を、フィッシングサイト発見に活用 3. 今号の統計 2016 年第 2 四半期のフィッシング攻撃件数は、四半期で昨年一年の攻撃件数に匹敵する 516,702 件に達し た。急増の影響もあってか、ブランドを騙られた国の中で米国の占める比率は低下した。対照的に、トロイの木 馬を使った攻撃に関する値は、ピーク時から大幅に減少した状態で推移している。最も多く用いられている ト ロイの木馬は相変わらず Zeus だが、寡占状態に翳りも見られる。 ■今号の特集 ありきたりの景色に潜む、ロシアと中国のソーシャルメディアにおけるサイバー犯罪 今年 4 月、RSA は、半年以上の期間をかけて制作した世界のサイバー犯罪者によるソーシャルメディア活用状 況に関する特別白書の第 2 弾を発表した。この白書は、ソーシャルメディアにおける犯罪活動が、量的には指数 的に増加し、目に見えるものになっていること。そして、その大半が、あたかも”ありきたりの景色"に思えることを 明らかにした。 サイバー犯罪活動に参加しているユニークユーザーは、500 を超えるグループに 23 万人以上存在。その ほぼ半数がロシアと中国の SNS を使っている。 異なるグループが投稿(売りに出して)いるクレジットカードの枚数は、1 万 5 千枚以上。 カードがらみの犯罪行為が最も多い(53%以上) これまで闇市場の奥深くでしか取り引きされてこなかった犯罪サービス(マルウェア、ハッキングツール、 DDoS やスパム送信用のボット)がオープンな SNS で公然と紹介されている。
異なる犯罪者コミュニティの連携活動ぶりが窺わせる
個々のコミュニティの構造やコミュニティ内外における連携の様子も検証できるTHREAT
この記事の全文は、RSA Security Blog (http://blogs.rsa.com/resource/hiding-in-plain-sight-part-2/) を ご参照ください。 図-1: ロシアのソーシャルメディアで確認されたグループによる 最も目に付く犯罪活動の分布 図-2: 中国のソーシャルメディアで確認されたグループによる 最も目に付く犯罪活動の分布
最新フィッシング攻撃テクニックの紹介 大規模電子財布サービスを悪用した大規模な現金化手法を伝授するチュートリアル RSA Fraud Action チームは近ごろある地下フォーラムで、
窃取したクレジットカード情報の現金化スキームに関する、非 常に複雑な犯罪チュートリアルの大作を発見した。 ”ジャングルマネー”と称するこのチュートリアルが勧める基本的 な手口は、e-Wallet(電子財布)サービスを悪用する。まず、個人 用のアカウントでネットワークを作り、それをオンライン小売店向 けサービスを使って法人用アカウントに転換する。こうすれば、個 人用アカウントではできない法人用アカウントに資金を集約でき るという。 現金化の最後の段階で、チュートリアルは、e-Wallet アカウント の法人アカウント利用者が利用できるいくつものオプションを提 示している。以下はその例である。 ビットコインなどの暗号通貨を購入する セキュリティ要件が緩く送金しやすいグレー度の高い外貨を、 オンラインオークションサイトで購入する 換金が容易なギフトカードを購入する デビットカードとの連携機能を提供している国内大手証券会社の口座に送金し、ATM からデビットカードを 使って引き出す このチュートリアルは、通常は極めて困難な異なる口座間の紐付けを確実かつ、こっそりと行いたい犯罪者の ための手口を、35 ページにもわたって詳細に記述した大作となっている。中には、資金ジャグリングの方法につ いても記載されている。具体的には、(1)数多くのシェルアカウント*を仮想クレジットカード(VCC)経由で作成した り、シェル機能の使える e-Wallet アカウントを複数作成、(2)それらの口座間であたかも購入された何らかのサー ビスや商品に対する支払いを装って資金移動やそのキャッシュバックを繰り返し、(3)最終的に全額を全額迅速 に現金化してしまう、というものである。 このチュートリアルは、e-Wallet 口座との RDP 接続を装うことができるオンライン商用クラウドサービスの利用 も推奨している。他にも、クラウドサービス は、トランザクションの追跡を困難にする、使用した IP アドレスを即座 にリリースするという”融通の利く”IP サービスを提供してくれるとも指摘している。さらには、大手クラウドストレー ジサービス事業者が実施している無料試用期間サービスに、違う名前で毎月新たに申し込めば、ほとんど無期 限に無料でクラウドサービスを利用することもできる、とまで書いてある。さらには、多くのサイバー犯罪ツールや サービスには、口座チェック、通貨交換、偽装 ID 作成(パスポートなどを含む) の他、隠蔽や発見回避に役立つ 機能が含まれているとも、指摘している。 URL 短縮サービス事業者の自動統計表示機能を、フィッシングサイト発見に活用 フィッシング攻撃の際に標的を転送するために URL 短縮を使うのは、新しい話でもなんでもない。RSA
能を回避してしまう。 しかし、短縮 URL は元の URL を匿名化 してしまうが、有用なフォレンジック情報は 提供される。RSA の調べによると、たいて いの URL 短縮サービスは、自社で変換さ れた URL を入力すると、その利用状況(回 数や日数)を表示する自動統計表示機能を提供している。 特定の短縮 URL に対する統計情報は、URL の末尾に簡単なキーフレーズ(スイッチ)を追加するだけでアクセ スできる。表-3 は、よく知られた URL 短縮サービスが提供する統計ページにアクセスするためのスイッチの一覧 である。 図-4: Bitly を使って短縮されたある URL に関する統計ページ 図-5: Redirect.NL を使って短縮されたある URL に関する統計ページ URL 短縮サービス名 統計ページへのアクセス法 bit.ly URL の末尾に'+'を付け加える goo.gl URL の末尾に'info'を付け加える TinyURL URL の末尾に'~'を付け加える Tr.im URL の末尾に'+'を付け加える
今号の統計レポート
□ 銀行利用者を狙うトロイの木馬の認知件数(四半期推移) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は以下の通り。前四半期比でほ ぼ半減となった第 3 四半期から減少傾向が続き、1 年前の 11%にまで減少した。 ※ 亜種は概ね攻撃者ごとあるいは攻撃のたびに新たに作成されるため、攻撃の活性度を反映する。 □ トロイの木馬を使った攻撃に用いられた通信ノード(URL)の認知件数の推移(四半期推移) トロイの木馬の感染、更新、窃取した情報の送信などの目的で用いられた URL の認知件数も、トロイの木馬 の認知件数同様、一年前の 10.6%に減少した。 ※ 通常、亜種 1 種に複数の URL が関連づけられているので、亜種の件数を URL の件数が大幅に上回る。 2,583 1,310 436 483 295 0 500 1,000 1,500 2,000 2,500 3,000 2015-Q2 2015-Q3 2015-Q4 2016-Q1 2016-Q2 7,775 3,221 1,009 1,673 735 0 1,000 2,000 3,000 4,000 5,000 6,000 7,000 8,000 2015-Q2 2015-Q3 2015-Q4 2016-Q1 2016-Q2□ 認知されたトロイの木馬亜種の分類 2016 年第 2 四半期、世界を対象とした攻撃への関与が確認されたトロイの木馬について、RSA AFCC が認 知したものを原種別に分類した結果。 Zeus の比率が一年前の 52%から 18 ポイント比率を下げ、長く続く独占的な地位に翳りが見え始めている。 続く Citadel もピークから 12 ポイント、一年前から 5 ポイント減少している。上位の減少によって起きているのが 新顔の躍進である。半年前にわずか 2 ポイントでランク入りした Vawtrak が、16%を占めて 3 位に入った。4 位 の ISR Stealer も前回から 8 ポイント増えている。 フィッシング攻撃数(四半期推移) 2016 年第 2 四半期、AFCC が認知したフィッシング攻撃件数は、トロイの木馬を使った攻撃とは好対照で、 516,702 件と圧倒的な最高記録となった。どれほど圧倒的かというと、従来の記録を 6 割上回った前四半期の 2 倍を上回り、単一四半期で昨年の通年記録の約 98%にあたるものだった。 99,699 125,212 141,344 108,454 147,359 100,510 142,812 125,006 126,797 130,946 144,694 240,520 516,702 0 100,000 200,000 300,000 400,000 500,000 600,000 2013-Q2 2013-Q3 2013-Q4 2014-Q1 2014-Q2 2014-Q3 2014-Q4 2015-Q1 2015-Q2 2015-Q3 2015-Q4 2016-Q1 2016-Q2 Zeus 34% Citadel 18% Vawtrak 16% ISR Stealer 12% Ransomware 5% obile Malware 5% Bugat v4 4% Spyeye 2% Gozi 1% Pony Stealer 1% その他 1%
フィッシング攻撃を受けた回数(国別シェア) 2016 年第 2 四半期も、最も多く攻撃を受けたのは米国のブランドの利用者でほぼ半数を占めた。それでも、そ の比率は、前回の 71%から 23 ポイント減にあたる。その分は 2 位以降、特に 5 位以降の下位に分散する形と なった。5 位のオラン ダが前回の 1%から 7 ポイント増、6 位のス ペインが 2%から 5 ポ イント増と、3 位に 入ったインド、英国に 匹敵する水準を占め た。1%以上を占めた 国も 3 ヵ国増え、10 ヵ 国に達した。 フィッシング攻撃のホスト国別分布(月次) 2016 年第 2 四半期も、世界の攻撃の 60%は米国内でホスティングされていた。2 位のオランダでも 4%どまり と、米国集中ぶりが顕著になっている。3 位に英国、4 位ドイツ、5 位ロシアと続く。 ※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類であ る。 米国 48% カナダ 10% インド 9% 英国 9% オランダ 8% スペイン 7% 南アフリカ 2% 中国 1% コロンビア 1% イタリア 1% その他 2% 米国 60% オランダ 4% 英国 3% ドイツ 3% ロシア 3% マレーシア 3% フランス 2% シンガポール 2% カナダ 2% その他 17%
日本でホストされたフィッシングサイト(月次推移) 2016 年第 2 四半期、日本でホストされたフィッシングサイト数はのべ 9 件だった。第 1 四半期の 71 件から大 幅に減少した。前年同期の 35 件と比べてもかなり少ないが、年初からの累計数はほぼ同水準にあたる。昨年は 7 月からの 6 ヶ月で 210 件が確認されており、注意が必要である。 フィッシング対策協議会の発表によると、第 2 四半期の間に報告されたフィッシングの件数は、2,094 件で、第 1 四半期の 6,332 件から大幅減となった。しかし、4 月以降、ゆうちょ銀行、三井住友銀行、りそな銀行、ジャパン ネット銀行、福岡銀行、Apple 、 ハンゲーム、V プリカ (Visa プリペイドカード) 、OMC Plus 、ガンホーゲーム ズと大変多くのブランドに関するフィッシングの注意喚起が出されている。
この第 2 四半期には、上述のフィッシング攻撃の他にも、JTB や J-WAVE で不正アクセスによる大量の個人情 報の漏えい事案が報じられたほか、佐賀県で未成年による学内サーバや教育システムに対する不正アクセス事 案も耳目を集めた。JTB の場合は、同社自身のマルウェア感染によって、793 万人分の個人情報が漏えいした 他、NTT ドコモの d トラベルや DeNA トラベルなど、パートナー企業にも影響を及ぼした。
※ この報告は、AFCC が把握している攻撃の数です。AFCC が毎月発表する「RSA Monthly Online Fraud Report」 が Web に掲載されています。
本 ニュースレターに関するお問い合せ先
EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子
Tel : (03)6830-3234(直通) eMail : [email protected] 9 12 10 40 61 27 60 29 9 43 6 1 3 0 10 20 30 40 50 60 70 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月 5月 6月
サイバー犯罪グロッサリーAPT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。
Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。
CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。
C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。
Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。
RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。
SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。
Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。
SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。
Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。
ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。
Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター・ブート・レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア
