ここしばらく、日本のインターネットユーザーは SpyEye(Trojan.Spyeye)や Zeus(Trojan.Zbot)といった、オンラインバンキングを狙うトロイの木馬への対応に悩まされ続けています。これらのマルウェアによる被害件数も、銀行口座から引き出された金額も、驚くほどの割合で急増しています。警察庁によれば、オンラインバンキングでの不正な引き出しの件数は、2012 年の 64 件から、2013 年には 1,315 件へと跳ね上がりました。これだけでも、その深刻さがうかがえるでしょう。預金の被害額も、2012 年には 4,800 万円だったものが、2013 年には約 14 億円にのぼっています。
先日は、日本のユーザーから銀行口座に関する情報を盗み出そうとする複数のマルウェアファミリーも見つかっています。最近確認されたものとして Infostealer.Ayufos、Infostealer.Torpplar、Infostealer.Bankeiyaがありますが、今回は Infostealer.Bankeiya について詳しく説明します。
シマンテックが Infostealer.Bankeiya に注目し始めたのは、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2014-0322)を悪用する攻撃の拡散が確認された 2 月のことです。この脆弱性についても、以前のブログでお伝えしています。当時はまだ、この脆弱性に対するパッチが公開されていなかったため、Internet Explorer 9 と 10 のユーザーは無防備なままになっていました。Infostealer.Bankeiya の開発者は、その状況につけ込み、さまざまな正規の Web サイトに侵入してドライブバイダウンロード攻撃を仕掛けたのです。3 月 11 日にパッチが公開されてもなお、盛んな攻撃が続きました。攻撃された正規サイトには、旅行代理店、テレビ局、宝くじのサイトのようにアクセス数の多いものから、少数ながらオンラインショップ、コミュニティサイト、個人 Web サイトなど小規模なサイトも含まれています。
Infostealer.Bankeiya の調査をさらに進めたところ、これは新しいマルウェアファミリーではないことが判明しました。実際に最初の亜種が発見されたのは 2013 年 10 月のことで、それ以来多くの亜種が確認されています。Infostealer.Bankeiya の目的は、侵入先のコンピュータからオンラインバンキングに関する情報を盗み出すことだけです。システムに感染するときに、Internet Explorer の脆弱性だけでなく、「Oracle Java SE に存在するリモートコード実行の脆弱性」(CVE-2013-2463)も悪用されていることをシマンテックは確認しています。他の脆弱性が悪用されている可能性も否定できません。
Infostealer.Bankeiya による典型的な攻撃の手順は、以下のとおりです。
- 攻撃者が正規の Web サイトに侵入し、訪問者のコンピュータに感染するための悪用コードを仕掛けます。
- 脆弱性が残っているコンピュータを使ってユーザーがこのサイトにアクセスすると、システムが Infostealer.Bankeiya に感染します。
- Infostealer.Bankeiya は、IP アドレス、Mac アドレス、OS のバージョン、インストールされているセキュリティソフトウェアなど、侵入先のコンピュータに関する情報をアップロードします。
- 次に、暗号化された設定データをダウンロードします。これには、Infostealer.Bankeiya の更新版が置かれている場所として、次のいずれかの情報が指定されています。
- 暗号化されたデータホストすることだけを目的としたブログページ上のプロファイル
- 侵入先 Web サイトの特定の URL
- 更新が見つかった場合には、新しいバージョンをダウンロードし、自身を置き換えます。更新版には、新しいコマンド & コントロール(C&C)サーバーの場所に関する情報が含まれています。
- 標的となったオンラインバンキングサイトに被害者がログインすると、偽のポップアップウィンドウが表示されます。言うまでもなく、被害者にオンラインバンキングの情報を入力させることを狙ったものです。
- ここで入力した情報は C&C サーバーに送信されて保存され、攻撃者が取得できるようになります。
図 1. Infostealer.Bankeiya の C&C サーバーのログインページ
シマンテックは、コンピュータに侵入した Infostealer.Bankeiya からそれ以上のデータが攻撃者に送信されないように、既知の C&C サーバーをシンクホールに捕捉しました。また、被害者のコンピュータからのアクセスログを記録してサーバーを監視し、この攻撃の拡散状況も概算しました。シマンテックがこれを実行したのは 3 月中旬のある 1 週間ですが、その結果によると最大 20,000 台のコンピュータが感染していたことになります。その大多数が日本国内の IP アドレスからのアクセスで、そのことに驚きはありませんが、感染件数を考えるといささか深刻です。以下に示す数字はインターネット上でサーバーにアクセスしていたデバイスの数に基づいており、一部のデバイスは感染していないシステムのため除外されていることに注意してください。
図 2. C&C サーバーにアクセスしていたデバイス
シンクホールのデータによれば、日本に次いで被害が多かったのは香港です。これは、CVE-2014-0322 の悪用コードに狙われたコンピュータについて以前のブログで示したデータとも一致していますが、それには理由があります。シマンテックの調査では、ファイルを使って Bitcoin をマイニング(採掘)する別種の攻撃との関連性も確認されています。侵入を受けた香港のフォーラムサイトにアクセスするユーザーを標的とした攻撃もあります。このケースでは、コンピュータのハードウェアを悪用して Bitcoin を採掘するために、jhProtominer という Bitcoin マイニングソフトウェアを被害者のコンピュータにダウンロードして実行する目的で CVE-2014-0322 の悪用コードが使われています。攻撃者は、国境を越えた別のユーザーを標的にすることにも意欲的なようで、利益のためならどのような機会も利用しようと狙っています。
マルウェア感染の多くは、侵入を受けた正規のサイトにアクセスしたために起きています。あらゆるソフトウェア製品は、最新のパッチを適用して頻繁に更新することが重要です。Infostealer.Bankeiya に悪用された脆弱性のケースのように、パッチが公開されていない場合もあります。そのような場合でも、セキュリティソフトウェアはコンピュータのセキュリティを強化するために効果があるので、セキュリティソフトウェアをインストールして最新の状態に保つようにしてください。こうした推奨事項に従えば、ほとんどの感染は予防できるものです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。