トレンドマイクロは2019年9月、当時はまだ特定されていなかったエクスプロイトキットを使用するキャンペーンを確認し、「Operation Overtrap（オーバートラップ作戦）」と名付けました。その後の調査により、日本国内のネットバンキング利用者のみを狙う攻撃であり、下図のような3方向の攻撃から最終的に国内金融機関のネットバンキング利用者の認証情報を詐取することを確認しました。特に2019年9月以降は、不正広告（マルバタイジング）経由でエクスプロイトキットと呼ばれる脆弱性攻撃ツールへ誘導する攻撃を主に確認しています。

• URLリンクを含んだメールにより、ネットバンキングのWebサイトを偽装したフィッシングページへ利用者を誘導
• URLリンクを含んだメールにより、不正サイトへ誘導し、ダウンロードされるファイル（実はマルウェアの実行ファイル）を実行させる
• 不正広告経由でエクスプロイトキットを使用しマルウェアを配信

本ブログ記事では、トレンドマイクロがオーバートラップ作戦のキャンペーンを確認した経緯とともに、攻撃に利用された新しいバンキングトロジャン（オンライン銀行詐欺ツール）「Cinobi（シノビ）」（トレンドマイクロでは「TrojanSpy.Win32.CINOBI.A」などで検出）について解説します。 (さらに…)

 トレンドマイクロでは、2017 年 1 月～11 月に発生したサイバー脅威の事例を分析し、個人利用者では１）金銭を狙う「不正プログラム」の拡散、２）「ネット詐欺」、３）「仮想通貨を狙う攻撃」 を、法人利用者では１）「ランサムウェア」と「WannaCry」、２）「公開サーバへの攻撃」による情報漏えい、３）「ビジネスメール詐欺（BEC）」　を「三大脅威」として選定いたしました。そして、「セキュリティ上の欠陥」が特に企業に深刻な影響を与えた年であったものと総括しています。本ブログではこの 2017 年の脅威動向速報を連載形式でお伝えしています。第1回、第 2 回では特に法人での脅威について「セキュリティ上の欠陥」の観点から解説いたしましたが、第 3 回の今回は、個人利用者における三大脅威について解説します。

図：2017 年国内の個人と法人における三大脅威

トレンドマイクロでは 2016年12月初旬から、「DreamBot（ドリームボット）」（「TSPY_URSNIF」などとして検出）による、国内ネットバンキングを狙った攻撃を確認しています。「DreamBot」は、既存のオンライン銀行詐欺ツールである「URSNIF（アースニフ）」（別名：Gozi）の不正コードを改造して作成されたと考えられる新たな亜種です。ネットバンキングの認証情報詐取のための Webインジェクションなどの活動に関しては、「DreamBot」とこれまでの「URSNIF」との間に大きな相違はありません。しかし、匿名ネットワークである「Tor」の利用により C&C通信を隠ぺいする活動が追加されており、「DreamBot」の最大の特徴として挙げられます。警視庁や日本サイバー犯罪対策センター（JC3）からも注意喚起が出されており、今後の被害拡大に注意が必要です。

(さらに…)

先日お伝えした記事に続き、国内ネットバンキングを狙う「URSNIF（アースニフ、別名：GOZI）」が再び電子メール経由で拡散していることが確認されました。攻撃の内容自体に大きな変化はなく、様々な件名や内容の日本語マルウェアスパムが着信し、受信者が添付ファイルを開いてしまうとインターネット上の不正サイトからのダウンロードにより最終的に「URSNIF」が侵入します。前回は5月末から6月7日までのおよそ10日間で3万件以上のマルウェアスパムが観測され、その後も小規模に継続していました。そして今回は6月27日からの2日間だけで4万件を観測と前回の拡散を上回る規模となっています。オンライン銀行詐欺ツールの本体である「TSPY_URSNIF」の検出台数推移を見ても、6月27日以降に急増し5月以降最大の検出台数となっているため、攻撃者がより大きな規模の攻撃を仕掛けていることは間違いありません。

図1: 日本国内での「TSPY_URSNIF」の検出台数推移

(さらに…)