ネットで売買される“トロイの木馬”〜RSAセキュリティによる犯罪レポート
エンタープライズ
その他
注目記事
-
【デスクツアー】真似したい自宅デスク環境一挙公開!
-
セキュアブレイン「PhishWall」、フィッシング詐欺対策で仙台銀行が採用
-
ZoneAlarm ForceField、Internet Explorer 7の脆弱性を悪用したダウンロード攻撃を阻止
拡大写真
RSAセキュリティは24日、フィッシングやオンライン犯罪関連ニュースを集めた「Monthly AFCC NEWS」最新号を発行した。
「AFCC」は、RSA社の「Anti-Fraud Command Center」 (AFCC:オンライン不正対策指令センター)のことだ。AFCC は、フィッシング、ファーミング、トロイの木馬の攻撃を遮断する、24時間365日稼働の対策センターだ。AFCCは185か国以上に設置された110,000件以上のフィッシング攻撃を遮断した経験を持ち、フィッシングおよびあらたなオンライン上の脅威に関する業界の主要情報ソースとなっている。その最新号である「Vol.17」では、「オンライン販売されるトロイの木馬」という記事が掲載され、最新のオンライン犯罪の動向が紹介されている。
それによると、すでにアングラの詐欺師たちの間では、「オンライン犯罪用品の売買」は珍しいものではないという。攻撃用の堅牢なホスティング・サービス、トロイの木馬感染サービス、現金化サービスなど多種多様な犯罪サービスが流通している。犯罪者仲間のために既製のフィッシング・キットを提供するベンダーとウェブサイトも普通に存在している。そのなかで先週、RSAは新しいタイプのサービスと製品を捕捉した。トロイの木馬攻撃と組み合わせることができる、既製の不正HTMLインジェクション・キット、そしてそれを購入できる詐欺師向けのオンラインショップ「Webインジェクション・ショップで」ある。
「ウェブ・インジェクション・ショップ」は、顧客のニーズに柔軟に対応していて、ロシア人向けにロシア語のページが用意されていたりもする。価格はターゲットや注入のタイプなどによって、10USドルから30USドル程度までさまざまで、詐欺師たちは実際の画面を見ながらさまざまなインジェクション・キットを選べるようになっている。それらはWebページ全体、あるいは不正なHTMLの断片で、知識のないオンライン・バンキング・ユーザが信用情報を含むさまざまな情報を漏らすように設計されている。
たとえば、トロイの木馬 Sinowalは、トリガーリストにある膨大な数のドメインに応じて注入できる不正HTMLページの巨大なプールを持っていて、感染したユーザからさまざまな情報を収集することができる。たとえば、「取引番号」「口座番号」などの個人情報の入力を要求するフィールドを追加できるようになっている。また、トロイの木馬が注入する不正HTMLは、できるだけ違和感なく表示されるように、攻撃対象サイトのデザインや全体の流れにマッチするようにカスタマイズ可能となっている。Webインジェクション・ショップは2種類のタイプのHTMLインジェクション・キットを提供しており、1つは、ユーザに社会保障番号、母親の旧姓、PINコードなど本来必要のない情報をリクエストするフィールドを注入するページ内HTML変更型で、それぞれの金融機関が運営しているサイトのページにシームレスに混入するようにデザインされている。もう1つの感染タイプは、ユーザの(特定のPCの)ローカルのブラウザに不正なページをまるごと挿入するページ全体感染型である。こちらも、本来聞かれていない情報をユーザに入力するようにリクエストする。さらに“Balance Grabber”(残高採集者)と呼ばれる機能も販売されていたという。これはひとたびユーザが自らの銀行口座へのログインに成功すると、銀行口座の残高フィールドを探し出す不正なプログラムがそのPCのローカル環境で実行され、その口座の利用頻度、引き出し限度額まで確認するものだ。
HTMLインジェクション自体は、信用情報のような機密情報を盗み出すアプローチとしては特に目新しいわけではない。しかし、RSAにとっても、HTMLインジェクションを工業製品のように生産できる中心的存在、しかも詐欺師たちが誰でもアクセスできるように設置されたものを捕捉したのは初めてとのことだ。今回RSAが捕捉したショップはフィッシング・キットを販売している他のウェブサイトと酷似しており、このショップで販売されているインジェクション・キットは世界中の金融機関をターゲットにしていた。膨大な数の顧客から情報を盗み出すために設計されたキットを、詐欺師たちは自由にメニューから選べるようになっていたとのこと。
Monthly AFCC NEWSでは、フィッシング・キットなどと同様、いずれはインジェクション・キットも、無料あるいはわずか数ドルで流通するようになるだろうと予測している。そもそもHTMLページは比較的設計しやすいので、この見通しがはずれることはないとしている。犯罪者にとっては、より“仕事道具”を購入しやすくなるわけで、この予想はけっして明るい未来を指すものではない。今後もこれらオンライン犯罪者の最新動向について知識を持っておき、さまざまな事態を想定しておくことは大切だろう。
「AFCC」は、RSA社の「Anti-Fraud Command Center」 (AFCC:オンライン不正対策指令センター)のことだ。AFCC は、フィッシング、ファーミング、トロイの木馬の攻撃を遮断する、24時間365日稼働の対策センターだ。AFCCは185か国以上に設置された110,000件以上のフィッシング攻撃を遮断した経験を持ち、フィッシングおよびあらたなオンライン上の脅威に関する業界の主要情報ソースとなっている。その最新号である「Vol.17」では、「オンライン販売されるトロイの木馬」という記事が掲載され、最新のオンライン犯罪の動向が紹介されている。
それによると、すでにアングラの詐欺師たちの間では、「オンライン犯罪用品の売買」は珍しいものではないという。攻撃用の堅牢なホスティング・サービス、トロイの木馬感染サービス、現金化サービスなど多種多様な犯罪サービスが流通している。犯罪者仲間のために既製のフィッシング・キットを提供するベンダーとウェブサイトも普通に存在している。そのなかで先週、RSAは新しいタイプのサービスと製品を捕捉した。トロイの木馬攻撃と組み合わせることができる、既製の不正HTMLインジェクション・キット、そしてそれを購入できる詐欺師向けのオンラインショップ「Webインジェクション・ショップで」ある。
「ウェブ・インジェクション・ショップ」は、顧客のニーズに柔軟に対応していて、ロシア人向けにロシア語のページが用意されていたりもする。価格はターゲットや注入のタイプなどによって、10USドルから30USドル程度までさまざまで、詐欺師たちは実際の画面を見ながらさまざまなインジェクション・キットを選べるようになっている。それらはWebページ全体、あるいは不正なHTMLの断片で、知識のないオンライン・バンキング・ユーザが信用情報を含むさまざまな情報を漏らすように設計されている。
たとえば、トロイの木馬 Sinowalは、トリガーリストにある膨大な数のドメインに応じて注入できる不正HTMLページの巨大なプールを持っていて、感染したユーザからさまざまな情報を収集することができる。たとえば、「取引番号」「口座番号」などの個人情報の入力を要求するフィールドを追加できるようになっている。また、トロイの木馬が注入する不正HTMLは、できるだけ違和感なく表示されるように、攻撃対象サイトのデザインや全体の流れにマッチするようにカスタマイズ可能となっている。Webインジェクション・ショップは2種類のタイプのHTMLインジェクション・キットを提供しており、1つは、ユーザに社会保障番号、母親の旧姓、PINコードなど本来必要のない情報をリクエストするフィールドを注入するページ内HTML変更型で、それぞれの金融機関が運営しているサイトのページにシームレスに混入するようにデザインされている。もう1つの感染タイプは、ユーザの(特定のPCの)ローカルのブラウザに不正なページをまるごと挿入するページ全体感染型である。こちらも、本来聞かれていない情報をユーザに入力するようにリクエストする。さらに“Balance Grabber”(残高採集者)と呼ばれる機能も販売されていたという。これはひとたびユーザが自らの銀行口座へのログインに成功すると、銀行口座の残高フィールドを探し出す不正なプログラムがそのPCのローカル環境で実行され、その口座の利用頻度、引き出し限度額まで確認するものだ。
HTMLインジェクション自体は、信用情報のような機密情報を盗み出すアプローチとしては特に目新しいわけではない。しかし、RSAにとっても、HTMLインジェクションを工業製品のように生産できる中心的存在、しかも詐欺師たちが誰でもアクセスできるように設置されたものを捕捉したのは初めてとのことだ。今回RSAが捕捉したショップはフィッシング・キットを販売している他のウェブサイトと酷似しており、このショップで販売されているインジェクション・キットは世界中の金融機関をターゲットにしていた。膨大な数の顧客から情報を盗み出すために設計されたキットを、詐欺師たちは自由にメニューから選べるようになっていたとのこと。
Monthly AFCC NEWSでは、フィッシング・キットなどと同様、いずれはインジェクション・キットも、無料あるいはわずか数ドルで流通するようになるだろうと予測している。そもそもHTMLページは比較的設計しやすいので、この見通しがはずれることはないとしている。犯罪者にとっては、より“仕事道具”を購入しやすくなるわけで、この予想はけっして明るい未来を指すものではない。今後もこれらオンライン犯罪者の最新動向について知識を持っておき、さまざまな事態を想定しておくことは大切だろう。
《冨岡晶》
特集
関連リンク
関連ニュース
-
セキュアブレイン「PhishWall」、フィッシング詐欺対策で仙台銀行が採用
エンタープライズ -
ZoneAlarm ForceField、Internet Explorer 7の脆弱性を悪用したダウンロード攻撃を阻止
エンタープライズ -
RSAセキュリティ、認証アプライアンス・サーバ「RSA SecurID Appliance」の新モデル発売
エンタープライズ -
JAL、国内航空業界で初めてフィッシング対策にEV SSL証明書を導入
エンタープライズ -
ラックとRSAセキュリティ、フィッシングサイト閉鎖サービス「RSA FraudAction」で協業
エンタープライズ -
ボーナスシーズンは絶対遵守!「シマンテック セキュリティ5ヵ条」発表
エンタープライズ -
Web不正活動の中核が業務停止、明確な減少傾向が出るも油断できない情勢〜フォーティネット11月度ウイルスレポート
エンタープライズ -
インターネットが抱える3つの問題——IPアドレス枯渇、暗号化、DNSキャッシュ攻撃
ブロードバンド -
サイバー攻撃のホスティングがFast-Flux型ネットワーク上に移行〜RSAセキュリティ調べ
エンタープライズ -
FacebookワームがGoogleリーダーとPicasaを悪用〜フォーティネット調べ
エンタープライズ -
池田銀行、RSAセキュリティのフィッシング対策サービス「RSAFraudAction」を採用
エンタープライズ -
最も危険な男は“ブラッド・ピット”!〜マカフィー、サイバー空間で危険な有名人を発表
エンタープライズ -
あなたのパスワードは安全? オークションサイトなどのアカウント不正利用が増加〜IPA調べ
エンタープライズ -
RSA、リスクベース認証・監視「Adaptive Authentication」最新バージョンを発売
エンタープライズ -
トレードセーフ、サイバートラスト、SBPSの3社がネットショップ決済で連携開始
エンタープライズ