2018年には注意すべき! 再登場する
バンキング型トロイの木馬
2017年は「Petya」「NotPetya」「WannaCry」などのランサムウェアが世間の注目を受けたことは事実です。しかし、「Eqifax」と「Uber」の情報流事件など、昨年の主要ヘッドラインを良くみると、ランサムウェア以外にも「バンキング型トロイの木馬(以下バンキングトロイ)」また流行っている傾向があるということが知ることができます。
トロイの木馬は、ギリシャ神話のトロイ戦争のエピソードからできた用語で、一見有用なプログラムように見えていて、実は悪意のある機能が含まれている悪性コードのことです。既に2012年、2013年の間に、金融情報をタゲットにしたバンキングトロイが暗躍したことが一度あったのですが、その後にも、ハッカーはマルウェア拡散方法をもう一度アップデートしながらもバンキングトロイ攻撃をやめることはなかったのです。実際に2017年一四半期に報告されたフィシングの3分の1ちは、バンキングトロイを配布したことが明らかになりました。2017年様々なメディアのヘッドラインだったランサムウェアのように話題になったことはないのですが、バンキングトロイを無視してはいけないでしょうね。今日は、2017年後半に登場したバンキングトロイのことを紹介したいと思います。
もしトロイの木馬に関してより詳しい情報が欲しい方々は、【3分ITキーワード】トロイの木馬(Trojan Horse) を読んでください。
BankBot
「BankBot」は2017年初に初めて登場したのですが、9月にもう一度変わった形で新たに登場したのです。このバンキングトロイは、「Jewels Star」という有名なゲームを装うことでGoogle Playストアに侵入しました。このゲームアップをダウンロードしたユーザーのスマトフォーン内には、当ユーザーのカード情報を盗むマルウェアが設置されます。ゲームアプリケーションを実行してから20分後、グーグルサービスというポップアップが表示されて使用者がそのリンクに誘導します。このポップアップを通じて使用者はアンドロイドアクセス許可ページに移動して、アクセスの許可する際にマルウェアのアクセスさえ許可してしまうのです。その結果、「BankBot」はSMSアプリケーション及び他のアプリケーションを通じて個人情報を流出できる権限を得られます。「BankBot」はユーザー補助サービスを悪用して個体を模倣する方式のトロイの木馬で、今もその亜種が持続的に発見されています。グーグルはGoogle Playストアで「BankBot」の亜種を削除し続けていますが、専門家たちは「BankBot」の攻撃者たちは未だにも活動中のため、遅かれ早かれ新しいバージョンの「BankBot」が出現する可能性が高いと予測しました。
Trickbot
「Trickbot」は「Petya」と「WannaCry」からヒントを得て高度化されたバンキングトロイです。このバンキングトロイは金融情報を乗っ取るために、使用者を悪意のあるサイトに誘導するためリダイレクト攻撃を使用します。銀行機関に対する「Trickbot」攻撃は、24国以上の使用者に悪影響を与えるくらい効果的だったです。「Trickbot」は「Petya」及び「WannaCry」ランサムウェア攻撃により生成された同一なプロトコル、SMB(Server Message Block)というネットワーキング悪用することでより進化しました。「Trickbot」はワームモジュールを開発する以前より手軽く、そして自動的に広まるようになったそうです。
Ursnif
事実を言うと、「Ursnif」は新しいバンキングトロイではありません。このトロイの木馬は2007年からあったのですが、主に北米、欧州やオーストリアなどの英語圏地域がタゲットにして拡散されました。しかし、ソースコードが流出されてからこのトロイの木馬は進化し始めました。10月下旬、「Ursnif」は日本で非常に速く広まり始めました。ですが、このトロイの木馬は予想外に金融機関だけではなく、多様なところをタゲットにして拡散されました。「Ursnif」のタゲットはECサイト、暗号通貨プラットフォーム、さらにウェブメール使用者までに攻撃対象になったそうです。「Ursnif」は「Man-in-the-Browser(MITB)」攻撃、「Web Injection」や「session video grabbing」攻撃までマルウェアを伝達するために、エクスプロイトキット(脆弱性攻撃ツール)を使用する場合があるそうです。このような技術を活用して「Ursnif」は、 英語圏地域や日本に続いて、他の地域にも拡散できるかどうかが注目されています。
CoreBot
このトロイの木馬は2015年に活性化されて、2017年末にまた登場するまで総2年間も現れることがなかったです。元々「CoreBot」はログイン情報を流出するために使用されたマルウェアの1つで、2015年には「CoreBot」によって漏洩されたと推測されるアカウント情報が、オンライン上で販売されたことが話題になったことがありました。
「CoreBot」はスパムを通じて悪性コードが含まれている文書を発送する代わりに、使用者がリンクをクリックしてインボイスを見るように誘導する、偽物のインボイスメッセージと一緒にメールを転送します。このリンクをクリックするとマルウェアがダウンロードが実行されます。「CoreBot」はカナダ銀行ウェブサイトを対象になるそうです。このトロイの木馬は、既にRBC、Scotia Bank、Bangque Nationaleの顧客に影響を与えたことがありました。セキュリテイ専門家たちは 未だにも「CoreBot」の新しいバージョンを分析していますが、初期検査結果によると、銀行を対象にする他なるマルウェアと関連があると言及しました。
IcedID
「IcedID」は、2017年11月に新たに出現したバンキングトロイです。IBMのエクスポートチームで発見されて名付けられたこのトロイの木馬は、北米や英国全域の金融機関外にも、ECサイトおよびモバイルサービスベンダーをタゲットにします。「IcedID」は「Emotet」という別のトロイの木馬通じて拡散されていことが主要特徴の一つです。「Emotet」はボットネットを維持して拡大させる機能を持っていて、またスパムを通じて主に配布されて、悪性マクロが添付されている業務用書類を装うことで使用者を騙します。そしてエンドポイントにできるだけ長い時間を止めさせながらマルウェアを拡散する方式です。それで、このように「IcedID」が「Emotet」を通じて大規模に拡散されるように設計された攻撃手法は、攻撃者たちが大手企業を狙っているようにみえるというのが、セキュリテイ専門家たちの意見です。
「IcedID」はマルウェアを提供して、脆弱性のあるネットワークにアクセスするために先ずボットネットを使用します。その後、リダイレクトとウェブインジェクション組み合わせて攻撃を実行します。「IcedID」は、ローカルプロキシを設定してネットワークを通じて拡散されたり、またオンライン上の活動をモニタリングすることもできます。「ZEUS」のようなバンキングトロイもウェブインジェクション及びリダイレクト方法を使用していますが、慎重にこのトロイの木馬を分析したセキュリテイ研究員は、「IcedID」が他のバンキングトロイからコードを借りる痕跡はないと言いました。
悪性コードが含まれている悪性アプリケーションに関するニュースはよく出ますね。バンキングトロイもまた私たちの周りから手軽く探すことができる、色々な種類の悪性コードの1つであります。セキュリテイ専門家たちが指摘したように、ハッカーたちがお互いの悪性コードの手法からヒントを得たり、探知されることを避けるために新機能を追加することで、類似のバンキングトロイが登場することは非常に一版的な現象です。今年、2018年にもサイバー犯罪者は新しタゲットを攻撃するために様々な技術と拡散方法を進化させていくのでしょう。2018年もマルウェアは、セキュリテイ問題の大きな部分を占めると予想されます。
