トレンドマイクロの脅威調査機関である「Forward-looking Threat Research(FTR)」では、さまざまな調査を行っていますが、その調査の中で、日本での被害が 96%以上を占めるオンライン銀行詐欺ツールの攻撃キャンペーンを確認しました。オンライン銀行詐欺ツールとは、オンライン銀行口座の不正操作による金銭窃取を最終的な目的とする不正プログラムの総称です。現在では、正規オンライン銀行Webページ上で各種認証情報の入力を促す偽のポップアップを表示し、情報を詐取する手口が中心的になっています。日本に特化したオンライン銀行詐欺ツールの攻撃については、2012年10月29日のブログ記事、2013年2月14日のブログ記事、「2013年第1四半期セキュリティラウンドアップ」などで触れていますが、今回確認された攻撃は、その後も継続して日本を狙う攻撃が拡大傾向にあることを示すものと言えます。
この攻撃で利用されたオンライン詐欺ツールは「Citadel」ファミリ(「TSPY_ZBOT」などとして検出)です。これらのツールが詐取情報をやりとりする遠隔操作用の C&Cサーバは、現時点で少なくとも 9つの IPアドレスを特定しており、地理的にはヨーロッパ、アメリカなどに分散していました。これらの C&Cサーバについてアクセス状況を監視したところ、アクセス元の96%以上が日本からのものと確認されました。この C&Cサーバへのアクセス発生は、既にユーザ環境に感染したオンライン銀行詐欺ツールの存在を示すものであり、感染被害のほとんどが日本国内で発生していることを意味します。
また、これらの C&Cサーバへアクセスするオンライン銀行詐欺ツール検体とその設定ファイルの解析から以下のことが確認できました。
現在、トレンドマイクロでは関連の C&Cサーバへの監視を強めています。攻撃を確認した 16日以降 21日までの間に日本から C&Cサーバへアクセスしたユニークな IPアドレスは 2万件を越えており、多くの PC が感染されているものと推測できます。また、全体的なアクセス数としても 16日以降若干の減少傾向にはありますが、21日に至っても高い数値を示しており、今回のオンライン銀行詐欺ツールによる被害はまだ継続している状況であると言えます。
 |
|
|
オンライン銀行詐欺ツールに関しては既に、各銀行より注意喚起が出ている状況です。ご利用の銀行から出ている注意喚起の内容をよく読み、ログイン以外の目的での認証情報入力に注意してください。
■トレンドマイクロの対策
今回の攻撃に関連するオンライン銀行詐欺ツールに関してはトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能の 1つである「ファイルレピュテーション」技術により、「TSPY_ZBOT」などの名称で検出対応を行っております。同様に、C&Cサーバなど関連の不正サイトはすべて「Webレピュテーション」技術によりアクセスブロックの対応を行っています。
これらの製品や機能を有効にして対策を強化することを、トレンドマイクロでは推奨します。
【更新情報】
| 2013/07/25 | 17:50 | 一部誤記を更新しました。 |