5月29日のブログでは、ネットバンキングとクレジットカードの情報を狙いセキュリティ対策製品を起動不可にする「VAWTRAK」ファミリーの日本における被害報告増加を報告しました。トレンドマイクロのクラウド型セキュリティ基盤である「Trend Micro Smart Protection Network」(SPN)の検出数統計情報によれば、5月22日に観測された検出台数 3000以上のピークから 6月2日には 165台と収束の傾向がはっきりと出ています。
 |
この 5月最終週には時期を同じくして、大手旅行代理店やブログサイトが改ざんされてネットバンキングの情報を盗む不正プログラムが拡散された事例も発覚し、5月28日を皮切りに週末にかけて大きく報道されました。トレンドマイクロでは、この改ざん攻撃から侵入するオンライン銀行詐欺ツールと関連する不正プログラムに関しても「TSPY_AIBATOOK.AM」、「TSPY_TANDFUY」などの検出名で 5月27日以降、順次検出対応を行っています。
また、改ざんサイトから誘導される脆弱性攻撃のための不正サイトの URL についても、5月16日以降順次アクセスブロックの対応を行っています。SPN の統計情報によれば 5月27日前後をピークに 18,000件以上のアクセスブロックが確認されています。このピーク期間は大手旅行代理店やブログサイトが公表している改ざん期間と符合するものと言えます:
 |
注:グラフ上の日付表示はUTC+0(日本時間=UTC+9) |
この 2つの攻撃は双方とも最終的に金融機関を狙うオンライン銀行詐欺ツールに連鎖する攻撃だったと言えますが、相互に関連する攻撃だったのでしょうか?トレンドマイクロでは双方の攻撃を解析し、少なくとも 2つの攻撃で使用された不正プログラムには関連性が無く、それぞれ別々のグループによる攻撃であったものと推定しています。
ネットバンキングだけでなくクレジットカード情報の窃取を狙う上にセキュリティ対策製品を起動不可にさせる Anti-AV活動までを行う悪質な「VAWTRAK」ファミリーに対し、今回確認された「TSPY_AIBATOOK.AM」はより簡易な活動しか持たない不正プログラムです。特に、攻撃対象の銀行の情報がプログラム内にハードコードされていることは、「VAWTRAK」だけでなく、2013年から国内への攻撃でオンライン銀行詐欺ツールの主流となっている「ZBOT」系とも異なる点として挙げられます。トレンドマイクロの解析では、この攻撃対象の情報として銀行とは別に、複数のオンラインゲームに対する情報窃取のコードが含まれていることも確認されています。このことから、以前から存在する情報窃取型不正プログラムツールの転用であるものと考えています。
今回の「AIBATOOK」の攻撃において特筆すべき点として、2つの「利用者側では守れない脅威」があります。1つは、正規サイト上で配布されていた正規プログラムの改ざんです。大手パソコン周辺機器メーカやオンラインゲームサイト上において、周辺機器用ドライバやファームウェア更新プログラム、ゲームソフトの更新ファイルなどが改ざんされ、不正プログラムが感染する状態になっていたことが確認されています。このような攻撃はこれまで日本ではほとんど発生していませんでした。もう 1つはサーバ委託業者への攻撃です。今回被害を受けた Webサイトやダウンロードサイトは同一のサーバ委託業者のコンテンツ配信サービスを利用していました。そのサービスが侵害を受けたことで一様に改ざんを受けたものと確認されています。
利用者にとって正規サイトで配布されているプログラムを疑うということは困難であり、逆に攻撃者にとっては攻撃価値が高いものと言えます。このような正規サイトやそこから配布されるプログラムを狙う攻撃は、今回の事例を契機に増加することが危惧されます。正規サイト側、特にプログラム配布を行っているサイトの運営者は自分たちが改ざんの「被害者」、かつ、利用者を不正プログラム感染させる「加害者」にならないために、今一度セキュリティの見直しを行うことをお勧めします。
■トレンドマイクロの提供する対策
今回の複数の攻撃で確認された不正プログラムは、SPNの機能である「ファイルレピュテーション(FRS)」技術により、順次検出対応を行っています。また、攻撃に関連する不正サイトについては、「Webレピュテーション(WRS)」技術により、Web サイトへのアクセスをブロックします。
また、Webサイトの改ざん対策として、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」の変更監視機能とセキュリティログ監視機能を活用することで、改ざん被害を早期に可視化し、迅速な対応に繋げることが可能です。