Digital Arts News Watch
2018/01/09
サイバー攻撃
標的型攻撃
i-FILTER
m-FILTER
インターネットバンキングのユーザーを狙った「バンキングマルウェア」、どう防ぐ?
日本国内で再び被害が急増しつつある「バンキングマルウェア」
2017年9月ごろより、「バンキングマルウェア」と呼ばれるサイバー攻撃の被害が日本国内で急増しています。バンキングマルウェアとはその名の通り、主にインターネットバンキングのユーザーを狙ったサイバー攻撃の手口で、ユーザーID/パスワードの窃取や不正送金などをその主な目的にしています。
特に「Ursnif」「DreamBot」などのマルウェアが猛威を振るっており、国内で数多く亜種が確認されています。JC3(一般財団法人日本サイバー犯罪対策センター)では、これらバンキングマルウェアの被害について注意を喚起しており、2017年3月には「インターネットバンキングマルウェア『DreamBot』による被害に注意」と題したプレスリリースで対策を呼びかけています。
これらマルウェアの攻撃手口としては、まずはメールを介してユーザーのPCへの侵入を試みます。「公共料金請求書データ送付の件」「商品発送のお知らせ」といった、受信者が思わず反射的に開きたくなるような件名や内容を記したメールを送り付け、マルウェアが含まれた添付ファイルを開かせようとします。あるいは、メール本文中に不正サイトのURLリンクを記しておき、受信者がそれをクリックしてサイトへアクセスすると、自動的にマルウェアがダウンロードされるような手口が多く用いられます。
そうやってユーザーのPCがマルウェアに感染してしまうと、C&Cサーバーを利用した指令により、攻撃者によって遠隔操作されてしまいます。その結果、ユーザーが知らない間にインターネットバンキングの口座から多額の預金が不正送金されたり、ID/パスワードが窃取されるなどの被害が発生します。
こうした攻撃の手口自体は昔からありましたが、かつては主に海外、特に英語圏での被害が多くを占めていました。しかし近年では、明らかに日本を標的とし、日本語による巧みな文面で構成されたメールによる攻撃が増えてきました。特に2016年の秋以降に、日本向けに特化したバンキングマルウェアの被害報告が相次ぐようになりました。
また、攻撃の規模に波があるのも特徴の1つです。日本国内では、2016年に被害が急拡大したものの、2017年に入るといったん鎮静化の方向に向かうかに見えました。しかし2017年9月ごろから再び攻撃が活発化し、感染が急拡大しつつあります。亜種も数多く報告されており、中には仮想通貨プラットフォームや電子商取引サイトを狙った攻撃も報告されています。そのため、あらゆるユーザーが常に備えておくべき脅威だといえるでしょう。
「i-FILTER」と「m-FILTER」の組み合わせによる最新バンキングマルウェアのブロックを確認
では、具体的にどのような備えを講じておけば、バンキングマルウェアの被害を防ぐことができるのでしょうか? 先に述べたように、バンキングマルウェアにはUrsnifやDreamBotをはじめとする数々の亜種が存在し、かつ日々新たな亜種が大量に作り出されているため、一般的なウイルス対策製品だけでは対策が追い付かないこともあります。
そこで弊社では、弊社自身が開発・提供する最新のセキュリティ製品を使って、実際にUrsnifおよびDreamBotの攻撃をブロックできるかどうか検証しました。試したのは、2017年9月19日にリリースしたWebセキュリティソフト「i-FILTER」Ver.10と、メールセキュリティ製品「m-FILTER」Ver.5の組み合わせです。実際にUrsnifおよびDreamBotの亜種を含む33通りの検体を入手し、解析にかけました。
「Ursnif」「DreamBot」自体をダウンロードする一時検体を含むメールを「m-FILTER」Ver.5経由で受信し、さらに一時検体を起動し「Ursnif」「DreamBot」自体のダウンロードを「i-FILTER」Ver.10経由で実施しました。まず「m-FILTER」Ver.5で受信メール自体または添付ファイルが隔離されることを確認できました。次に、「i-FILTER」Ver.10で一時検体によるマルウェア自体のダウンロード通信がブロックされることも確認できました。
感染手法と「i-FILTER」Ver.10 /「m-FILTER」Ver.5でブロックできる範囲(例:「DreamBot」の場合)
- (1)DreamBotをダウンロードするマクロを含んだOffice文書、URL等をメールで送信⇒「m-FILTER」Ver.5でブロック可能
- (2)添付ファイルを開く、本文のURLをクリックするなどで「DreamBot」をダウンロードし感染する
⇒
「i-FILTER」Ver.10でブロック可能 - (3)感染後はC&Cサーバーと「Tor」を利用した指令により遠隔操作され「ID / パスワード」の窃取や自動送金が実施される
このように、「i-FILTER」Ver.10 および「m-FILTER」Ver.5を利用すれば、メールおよびWebのそれぞれの層において、代表的なバンキングマルウェアであるUrsnifおよびDreamBotの感染をブロックできることを確認しました。ただし、攻撃側の手口も日々進化し続けています。そのため弊社も引き続きサイバー攻撃の動向に目を光らせながら、常に最新の脅威に対応すべく、製品の検証や機能強化を続けていきたいと考えています。
< 「i-FILTER」「m-FILTER」製品担当:遠藤、萩野谷 >
バンキングマルウェア対策には「i-FILTER」Ver.10×「m-FILTER」Ver.5をおすすめします。
※ 「i-FILTER」Ver.10では未カテゴリのURLをブロックする運用にすること、「m-FILTER」Ver.5ではマクロ除去対象外の添付ファイルの隔離する運用にすることが前提の対策となります。
最近の記事
- 2023/10/02「i-フィルター」年齢に合わせたフィルタリング設定のご案内
- 2021/03/18大手3社のオンライン専用プランで、フィルタリングはどうなる?
- 2021/02/16i-フィルター担当者によるスマホ利用の「家庭ルール」ご紹介