オンライン銀行詐欺ツール(バンキングトロジャン)は、利用者から詐取したクレジットカード情報をサイバー犯罪者が運用する不正サーバへアップロードします。このような詐取情報を集積するための不正サーバは、特に「マニピュレーションサーバ」とも呼ばれています。今回、社外のセキュリティリサーチャーからの情報提供を基に、トレンドマイクロでは活動継続中のマニピュレーションサーバを確認しました。そして更なる調査により、マニピュレーションサーバ内に日本国内のクレジットカード情報が最大 1,800 件保持されていたことを突き止めました。マニピュレーションサーバ内の情報が確認できるケースは稀であり、日本を狙うバンキングトロジャンによる被害の実体を示す貴重な事例として報告します。なお、トレンドマイクロでは、既に詐取されたみられるクレジットカード情報について各カード会社への連絡を行っております。
続きを読むトレンドマイクロでは、2017 年 1 月~11 月に発生したサイバー脅威の事例を分析し、個人利用者では1)金銭を狙う「不正プログラム」の拡散、2)「ネット詐欺」、3)「仮想通貨を狙う攻撃」 を、法人利用者では1)「ランサムウェア」と「WannaCry」、2)「公開サーバへの攻撃」による情報漏えい、3)「ビジネスメール詐欺(BEC)」 を「三大脅威」として選定いたしました。そして、「セキュリティ上の欠陥」が特に企業に深刻な影響を与えた年であったものと総括しています。本ブログではこの 2017 年の脅威動向速報を連載形式でお伝えしています。第1回、第 2 回では特に法人での脅威について「セキュリティ上の欠陥」の観点から解説いたしましたが、第 3 回の今回は、個人利用者における三大脅威について解説します。
図:2017 年国内の個人と法人における三大脅威
(さらに…) 続きを読む
トレンドマイクロは、2017年9月にも、古くからあるオンライン銀行詐欺ツール「EMOTET(エモテット)」がそのような不正なマクロを利用した手法で金融機関以外の業界や新しい地域へと対象を拡大する活動について報告しました。
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー
トレンドマイクロでは、2017 年上半期(1~6月)における国内外の脅威動向について分析を行いました。この上半期に見られたセキュリティ上の最も大きなトピックは、「WannaCry」と「Petya」という 2 種のランサムウェアによる世界的な被害だったと言えます。この 2 種のランサムウェアは脆弱性を利用したネットワークワーム活動により、法人組織のネットワークで被害を引き起こしました。特に、通常の組織内にある情報系ネットワークだけでなく、工場や病院、鉄道、販売管理システムといった業種特有環境のネットワークでも深刻な被害を発生させたことで大きな注目を集めました。
図 1:「WannaCry」が表示する身代金要求メッセージの例
(さらに…) 続きを読む
トレンドマイクロは、2017年8月、感染 PC にさまざまなマルウェアを拡散するマルウェア「EMOTET(エモテット)」の新しい亜種(「TSPY_EMOTET.AUSJLA」、「TSPY_EMOTET.SMD3」、「TSPY_EMOTET.AUSJKW」、「TSPY_EMOTET.AUSJKV」として検出)の急増を確認しました。弊社が、2014 年 6 月に初めて EMOTET を確認した際には、このマルウェアはネットワーク監視による情報収集機能を備えたオンライン銀行詐欺ツールでした。
続きを読むMac OS X を狙ったオンライン銀行詐欺ツール「OSX_DOK(ドック)」(「OSX_DOK.C」として検出)が確認されました。OSX_DOK.C は、電子証明書の偽造やセキュリティソフトによるスキャン回避等の巧妙な手法を利用するマルウェアで、スイスの銀行システム利用者を主な標的としています。攻撃者は、フィッシングメール送信活動によってこのマルウェアを送り込み、「Man-In-The-Middle(MitM、中間者)攻撃」を仕掛けてネットワークトラフィックをハイジャックし、最終的にネットバンキングの認証情報を詐取します。このような機能や挙動の類似性から、OSX_DOK.Cは「エメンタル作戦」で利用された「WERDLOD(ワードロッド)(「TROJ_WERDLOD」ファミリとして検出)」の別バージョンだと考えられています。本記事では、OSX_DOK.C の注目すべき機能について解説します。
■侵入方法と感染経路
図1:OSX_DOK がMac PC に感染する経路
(さらに…) 続きを読む
「RAMNIT(ラムニット)」は、以前からネットバンキングの認証情報を詐取し最終的に不正送金を行う「オンライン銀行詐欺ツール(バンキングトロジャン)」として知られています。これまで RAMNIT は日本ではなく、海外のネットバンキングを標的としてきました。しかし、2017年に入り日本を標的とする動きをみせており、これまでの調査では国内クレジットカード会社 12社のサイトが攻撃対象となっていることが確認されました。海外で既に大きな脅威となっている不正プログラムが、日本にも攻撃の矛先を向けてきた事例として注意が必要です。
続きを読む英国の詐欺やサイバー犯罪の報告センターである「Action Fraud」は、2017年1月12日(現地時間)、移住者支援慈善団体「Migrant Helpline」を偽装して寄付者を狙う標的型メールを利用した詐欺について注意喚起しました。標的型メールには、寄付ページへのリンクが含まれていました。ユーザが何も疑わずにリンクをクリックすると、正規の Webサイトが開く代わりに、「RAMNIT(ラムニット)」がダウンロードされます。「RAMNIT」は、現在活動しているマルウェアの中でも非常に強力なものの一つで、2016年に脅威状況に復活しました。
続きを読む2016年を通じ、マルウェアスパム、つまりメール経由での不正プログラム拡散が猛威を振るったことは、2017年1月10日のランサムウェア、1月13日のオンライン銀行詐欺ツールに関する昨年の傾向をまとめた記事でも触れている通りです。このメール経由の攻撃が 2017年に入っても継続している例として、本日 1月17日朝、日本語メールによるオンライン銀行詐欺ツールの拡散を確認しました。
図1:今回確認されたマルウェアスパムの例
