2016年個人の三大脅威:ネットバンキングを狙う「オンライン銀行詐欺ツール」

2016年個人の三大脅威:ネットバンキングを狙う「オンライン銀行詐欺ツール」

本ブログでは日本における 2016年個人と法人の三大脅威について、連載形式で解説しております。第 2回の今回は、特に個人利用者に対して大きな脅威となった「オンライン銀行詐欺ツール(バンキングトロジャン)」について解説します。

図1:
図1:2016年国内の個人と法人における三大脅威

■国内のネットバンキングを狙う攻撃
不正送金による金銭利益を最終目的としてネットバンキングの認証情報の詐取/窃取の活動を行うオンライン銀行詐欺ツールの攻撃は、日本でも残念ながら「定番化」してしまった感があります。2016年を通じ、ランサムウェア被害の陰に隠れた形になっていましたが、実際にはオンライン銀行詐欺ツールも個人、法人の双方に対し、過去最大と言えるメール経由による拡散が発生していました。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の統計によれば、日本国内での検出台数は 2016年 1~11月だけで 9万8千件となりました。これは日本にオンライン銀行詐欺ツールが本格流入した 2012年以降で最大の検出台数であり、2015年 1年間と比べても約3.4倍の大幅な増加となっています。

図2:
図2:国内でのオンライン銀行詐欺ツール検出台数推移(トレンドマイクロSPNによる)

ただし、オンライン銀行詐欺ツールの最終目的である不正送金、つまり「実害」という面からは状況は少し異なるようです。警察庁全国銀行協会(全銀協)の 2016年に関する不正送金被害額に関する公表からは、特に法人で被害が減少傾向にあることが読み取れます。この「実害」の観点から判断し、オンライン銀行詐欺ツールは特に「個人の三大脅威」としました。

■日本を狙う「メール経由」の攻撃で大規模拡散
ランサムウェアと同様、オンライン銀行詐欺ツールでもマルウェアスパムが国内での大規模な拡散の最大要因となっています。トレンドマイクロSPNによる監視では、1回の攻撃で検出台数400件以上が確認されたオンライン銀行詐欺ツール拡散目的のマルウェアスパムの攻撃は2016年11月までに33回確認されました。2015年には同一基準でのマルウェアスパムのアウトブレイクは1回も発生していなかった状況はランサムウェアと同様であり、2016年においては不正プログラムの拡散手法としてメール経由での攻撃が特に活発化していたと言えます。
この33回のアウトブレイクのうち、日本語の件名や本文を使用したメールによるものは32回と全体の97%を占めています。国内で確認されるオンライン銀行詐欺ツールの攻撃では、情報詐取対象とするネットバンキングのURLが国内の金融機関に絞られており、明確に日本国内の利用者のみを攻撃対象としていることがわかります。

図3:
図3:オンライン銀行詐欺ツール拡散目的の日本語マルウェアスパム例

■転んでも「タダ」では起きない脅威
過去最大規模の拡散に対し、最終目的である不正送金被害は全体的に減少傾向にあることが読み取れるオンライン銀行詐欺ツールですが、そもそも感染 PC上でネットバンキングを行っていなければ「害」はないものなのでしょうか。「オンライン銀行詐欺ツール(バンキングトロジャン)」という呼称からはネットバンキングの侵害に特化した不正プログラムというイメージを受けます。しかし、現在のオンライン銀行詐欺ツールでほとんどすべてでクレジットカード情報を狙い、信販会社の Webサービスの認証情報についても詐取対象にしています。また、現在のオンライン銀行詐欺ツールは、以前からあるボットやバックドア型の不正プログラムにネットバンキングを狙う機能を付加したものがほとんどです。長らくオンライン銀行詐欺ツールの中心的存在だった「ZBOT(別名:ZeuS)」をはじめとして、2016年に国内でのオンライン銀行詐欺ツール検出台数の 91%を占めた「BEBLOH」、「URSNIF」、「ROVNIX」などがこれにあたります。つまり、現在国内で拡散しているオンライン銀行詐欺ツールはほとんどすべてが、一般的な遠隔操作やキーロガーなどの情報窃取を可能とする機能を元から持っているものです。これらの情報窃取機能により、感染環境でネットバンキングが行われていなかった場合でも、そこに存在するアドレス帳などの個人情報を窃取し、その後の攻撃に利用したり、アンダーグラウンド市場で販売したりすることで利益を得るサイバー犯罪者の行動がわかっています。このように、オンライン銀行詐欺ツールを利用した攻撃は「転んでもただでは起きない攻撃」となっており、ネットバンキングを行っていない利用者にとってもけして軽視することはできない脅威と言うことができます。

■「オンライン銀行詐欺ツール」まとめ:
ランサムウェア被害拡大の裏に隠れて目立っていませんでしたが、日本国内ではオンライン銀行詐欺ツールもメール経由での拡散を中心に過去最大の拡散となっていました。オンライン銀行詐欺ツールは明確に日本国内の利用者を狙う攻撃であり、日本語メールでの拡散が主な侵入経路となっていました。本来の実害である不正送金被害については特に法人で減少の傾向が出ています。しかし、実際には銀行などのネットバンキングのみならずクレジットカード情報の詐取を行ったり、ネットバンキングを行っていない環境に感染した場合にも個人情報の窃取を行ったりする「転んでもただでは起きない攻撃」であり、軽視できない脅威であると言えます。

■被害に遭わないためには
不正プログラムは一般的に電子メール経由か Web経由で PC内に侵入します。そもそもの不正プログラムの侵入を止めるためには、従来のウイルス検出に加え、この 2つの経路での侵入も検知できる総合セキュリティ製品の導入が重要です。

メール経由の攻撃では、受信者の興味を引き添付ファイルを開かせる手口は常に変化していきます。最新の攻撃手口を知り、安易にメールを開かないよう注意してください。また、そもそも不審なメールを可能な限りフィルタリングし、一般利用者の手元に届かないようにする対策も重要です。

Web経由の攻撃ではクライアント側の脆弱性を利用し正規サイトを見ただけで感染させる手口が主流です。ブラウザや Adobe Flash、Java などインターネット利用時に使用するアプリケーションのアップデートを必ず行ってください。

■トレンドマイクロの対策
トレンドマイクロでは、個人利用者、法人利用者それぞれでオンライン銀行詐欺ツールなど不正プログラムからの防護を可能にする対策を提供しています。

個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、「FRS」技術によるウイルス検出、挙動監視機能(不正変更監視機能)により、侵入時点で検出未対応の不正プログラムであってもその不正活動を検知してブロックできます。同時にスパムメールの検出や、不正な URL をブロックすることによって、総合的な保護を提供します。

法人利用者では、複数のレイヤーを複数の技術で守る、多層防御が特に効果的です。防護のポイントとして、メール、Webなどのゲートウェイでの防御、エンドポイントでの防御、内部ネットワークとサーバでの防御が特に重要です。ゲートウェイでの防御としては、「InterScan Messaging Security Virtual Appliance」、「Trend Micro Hosted Email Security」、「Cloud Edge」などのメール対策製品や、「InterScan Web Security Virtual Appliance & InterScan Web Security Suite Plus」などのWeb対策製品が有効です。メール対策製品「Deep Discovery Email Inspector」や「Trend Micro Cloud App Security」などで使用可能なサンドボックス機能も検出未対応の不正プログラムの検出に有効です。

法人向けのエンドポイント製品「ウイルスバスターコーポレートエディション XG」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」では、「FRS」技術によりウイルス検出と同時に、挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応の不正プログラムであってもその不正活動を検知してブロックできます。特に「ウイルスバスターコーポレートエディション XG」はクロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。

ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などにより不正プログラムの侵入を警告します。また、ネットワーク内に侵入した不正プログラムが外部の不正サーバと通信する挙動をとらえて警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、不正プログラムがサーバに侵入することを防ぎます。

個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、「FRS」技術によるウイルス検出、挙動監視機能(不正変更監視機能)により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。同時にスパムメールの検出や、不正な URL をブロックすることによって、総合的な保護を提供します。

■「2016年個人と法人の三大脅威」連載記事リンク:

  1. 2016年個人と法人の三大脅威:日本におけるサイバー脅迫元年「ランサムウェア」
    /archives/14229
  2. 2016年個人の三大脅威:ネットバンキングを狙う「オンライン銀行詐欺ツール」
    /archives/14247
  3. 2016年個人の三大脅威:転換点を迎えた「モバイルを狙う脅威」
    /archives/14307
  4. 2016年法人の三大脅威:法人の持つ情報を狙う「標的型サイバー攻撃」
    /archives/14338
  5. 2016年法人の三大脅威:法人の持つ情報を狙う「公開サーバへの攻撃」
    /archives/14353

Related posts:

  1. オンライン銀行詐欺ツール「BEBLOH」に誘導するスパムメール、日本に拡大
  2. 国内ネットバンキングを狙う新たな脅威「DreamBot」を解析
  3. 2013年第 2四半期のセキュリティ動向:「サーバ」、「モバイル」、「人」の脆弱性
  4. 2015年は法人狙いのサイバー犯罪が顕著な一年に