?????????????? 2014 ???????: ????????????? 53 % ????????????????
2014 年、金融機関を狙うトロイの木馬の感染件数は減少したものの、攻撃者が最新のセキュリティ対策を回避し始めたことで、依然として多くの脅威が拡散しています。
Read More
2014 年、金融機関を狙うトロイの木馬の感染件数は減少したものの、攻撃者が最新のセキュリティ対策を回避し始めたことで、依然として多くの脅威が拡散しています。
Read More
While the number of financial Trojan detections decreased in 2014, the threat was still considerable, as attackers moved to bypass newer security measures.Read More
Ainda que o número de detecções de Trojans financeiros tenha diminuído em 2014, a ameaça ainda é considerável, já que os atacantes alteraram suas táticas para contornar as medidas de segurança mais recentes.
Read More
Aunque el número de detecciones de Troyanos financieros disminuyó durante 2014, la amenaza fue considerable, ya que los agresores se han movido para evadir nuevas medidas de seguridad.
Read More
Earlier this month, we told you about a spear phishing campaign specifically targeting banking customers in Czech Republic, and now a similar scam is targeting bank customers in Finland. This weekend, Aktia, Nordea, and Nooa Säästöpankki customers received text messages and emails informing them that their online banking services were being discontinued because of a […]
Earlier this month, we told you about a spear phishing campaign specifically targeting banking customers in Czech Republic, and now a similar scam is targeting bank customers in Finland. This weekend, Aktia, Nordea, and Nooa Säästöpankki customers received text messages and emails informing them that their online banking services were being discontinued because of a […]
「そこにカネがあるからさ」という有名な台詞は、銀行強盗ウィリー・サットン(Willie Sutton)が「なぜ銀行を襲うのか」と問われて答えたものだと言われています。真偽のほどは別としても、この台詞は今でも有効です。
同じ状況が、金融機関を狙う今日のマルウェアにも当てはまります。お金の移動する場所がオンラインバンキングのアプリケーションに変わったので、攻撃者もそれに引き付けられています。オンラインバンキングのサービスを標的にするトロイの木馬が開発され続けているのは、驚くほどのことではありません。最近のブログでお伝えした例は Neverquest というトロイの木馬ですが、これは 2006 年に初めて確認されて以来使われ続けている Trojan.Snifula の後継種でした。
金融機関を狙う最も一般的なトロイの木馬による感染の件数は、2013 年の 1 月から 9 月までの間に 337% という増加を示しています。1 カ月あたり 50 万台近くのコンピュータが感染して詐欺行為を受けやすくなっているという計算になります。金融機関を狙うトロイの木馬の背景にある仕組みと、その運用の規模を詳しく理解するために、シマンテックはオンラインバンキングを狙うトロイの木馬 8 種類に属している 1,000 以上の設定ファイルを解析しました。これらの設定ファイルには、トロイの木馬が攻撃する URL と、そのとき利用する攻撃方法が定義されています。攻撃方法は、単なるユーザーのリダイレクトから、バックグラウンドでトランザクションを自動実行できる複雑な Web インジェクションまでさまざまです。解析した設定ファイルは、合計で 1,486 の金融機関を標的にしていました。このことからも、トロイの木馬が広く拡散しており、攻撃者にとって金銭的な儲けを生むのであればあらゆるものが標的になっていることが明白です。
最も頻繁に攻撃されているのは米国内の銀行で、調査したトロイの木馬の設定ファイルのうち 71.5% に出現していました。標的となった上位 15 の銀行はすべて、設定ファイルのうち 50% 以上で見つかっており、2 つに 1 つのトロイの木馬が上位の銀行の少なくとも 1 行を狙っていることになります。このように高い数値が表れているのは、トロイの木馬とともに売られている基本ツールキットの一部に、標的となる URL がサンプルとして存在するためかもしれません。あるいは、トロイの木馬が依然としてこうした企業に対して有効だからという理由も考えられます。金融機関の一部はいまだに強力な認証を採用していないからです。もちろん、大部分の金融機関はこうしたサイバー犯罪の推移を意識しています。また、このような攻撃を遮断する新しい保護対策も講じているのですが、残念なことに、新しいセキュリティ対策を始動するには時間も費用も掛かり、攻撃者は常に新しい攻撃の経路を生み出しています。結局のところ、ソーシャルエンジニアリング攻撃は依然として機能し続けることになります。巧妙な作り話に引っ掛かってしまう人というのは、後を絶たないからです。オンラインバンキングのサービスを狙う攻撃は、来年も続くものとシマンテックは予測しています。
金融機関を狙うトロイの木馬の状況について詳しく知りたい方のために、このトピックを扱ったホワイトペーパーの最新版を公開しました(英語)。
金融機関を狙う脅威の 2013 年における概況については、以下の解説画像も参考にしてください。
悪質なゲームをダウンロードさせる手口は特に目新しいものではありませんが、マルウェアの作成者はいよいよオンラインゲームユーザーを標的にしようという野望を露わにしています。ゲームを狙うトロイの木馬が、ゲームのログイン情報に加えてユーザーの銀行口座も狙うようになってきています。
Infostealer.Gampass などの脅威が、何年も前からオンラインゲームユーザーのログイン情報やデータを盗み出してユーザーを悩ませてきましたが、登場してからまだ比較的日の浅い Trojan.Grolker も、新しい攻撃経路を使っています。
シマンテックは Trojan.Grolker の活動を 2012 年中頃から確認しています。感染の大部分は韓国で確認されており、それより規模は小さいながらハンガリーでの感染も見られます。攻撃者が韓国を標的にしているのは、韓国でオンラインゲーム人気が高いためです。
図 1. Trojan.Grolker の標的となっている国
今月までは、Trojan.Grolker もゲームを狙う典型的なトロイの木馬だったようで、盗み出すゲーム関連の情報は先行するマルウェアと同様のものでした。古い Grolker サンプルのコードを分析したところ、ブラウザの URL を Grolker の狙うゲームサイトの URL と比較していたことがわかります。それが対象の URL であった場合、Grolker は悪質な JavaScript を Web ページにインジェクトしていました。
図 2. 古い Trojan.Grolker の URL チェック
Grolker の新しいサンプルも以前と同じコードを使って、ブラウザに読み込まれた URL を韓国のオンラインバンキングサイトの URL と比較します。
図 3. オンラインバンキングサイトの URL を検索する新しい Trojan.Grolker
Grolker は、以前のサンプルと同様に、攻撃者が狙う URL を含むページに悪質な JavaScript をインジェクトします。韓国ではあらゆるオンラインバンキングサイトが標的となっているため、韓国のユーザーは大きく被害を受けています。
図 4. Grolker がオンラインバンキングサイトに悪質な JavaScript をインジェクト
正常な Web ページにインジェクトされる悪質な JavaScript は、トロイの木馬のバイナリファイルにハードコード化されています。Grolker は別個の設定ファイルを使わないので、その点がオンラインバンキングを狙う他のトロイの木馬(Trojan.Zbot など)とは異なるところです。
Grolker はブラウザヘルパーオブジェクト(BHO)を使って、コンポーネントを Internet Explorer のプロセスにロードします。オンラインバンキングを狙う他のトロイの木馬はコンポーネントをブラウザのプロセスに直接インジェクトし、ネットワーク機能をフックして Web トラフィックを傍受するのが一般的であり、これも Grolker が他のトロイの木馬と異なる点です。このように、Trojan.Grolker はオンラインバンキングを狙うトロイの木馬よりも、ゲームを狙う従来型のトロイの木馬に似ています。
Trojan.Grolker の攻撃から保護するために、最新のコンシューマ向けのノートン製品やシマンテックのエンタープライズ向けソリューションを使用することをお勧めします。シマンテックは、この脅威を Trojan.Grolker として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。