トロイの木馬も使う遠隔犯罪ツールの存在確認――EMC月例報告：NEWS

EMCジャパン RSA事業本部は、オンライン犯罪に関するリポート（2010年3月版）を基に説明会を行った。

[TechTargetジャパン]

　EMCジャパン RSA事業本部は4月26日、オンライン詐欺対策に関する説明会を開催し、RSA Anti-Fraud Command Center（AFCC：24時間365日稼働のオンライン不正対策センター）が調査したオンライン犯罪の統計結果を発表した。

　AFCCの統計（全世界を対象）によると、2011年3月のフィッシング総攻撃回数は1万7586件で、前月の1万8079件からやや減少した。一方、標的となった企業数は前月（342件）と比べて27％増の342件だった。この数値から見られるここ数カ月の傾向としてEMCのシニアマーケティングプログラムマネジャーの水村明博氏は「攻撃を受けた回数が5回以下の企業は200件を超えたが、それでも全体を見れば同じ企業が再び標的となる傾向がある。今月新規に攻撃を受けた企業はわずか5件だった」とコメント。攻撃手法も近年の傾向と変わらず、ボットネットではなく、フィッシングサイト経由で行われる攻撃が主流だとした。

　国別のフィッシング攻撃被害状況は、回数が多い順に米国（49％）、英国（30％）、南アフリカ（6％）。上位2カ国で8割の被害件数を占める結果となった。フィッシング攻撃のホスティング国分布では、米国が首位で66％。後はカナダ（6.5％）、英国（6％）、ドイツ（6％）などが上位にランクインしている。

AFCCが確認した2010年3月から1年間のフィッシング攻撃数動向（同社発表の資料より転載）

　説明会では、今月の気になるトピックとして「トロイの木馬が仕込まれたオンライン犯罪用リモートアクセスツールの存在」が紹介された。

　現在、オンライン犯罪者が集う闇市場では、遠隔でさまざまな悪質攻撃が可能なリモートアクセスツール「Blackshades」の存在感が増しているという。Blackshadesは、遠隔でPCのシャットダウン、モニター電源・WebカメラのON／OFF、キーロガー、ストレージの参照とダウンロードなどの行為を実現可能とする悪質ツールで、存在自体は2008年に発見されていた。今回、AFCCは同ツールを使った犯罪行為を多様化させるトロイの木馬がツール内に組み込まれていることを確認。犯罪者はBlackshadesを利用して、ランサムウェア（※）、ファーミング、ファイルへのマルウェア感染、スパム送信とDDoS攻撃などの行為が可能になったという。

（※）被害者のPCに保存されているファイルを無断でディレクトリごと暗号化し、被害者本人がアクセス不可能な状態とする手口。PC画面には暗号化を解除するために特定のアドレスへ連絡や入金を促すメッセージを表示し、信頼のできない取引を促したりする

　水村氏は「（遠隔操作によって）本人確認を困難にするBlackshadesは、犯罪者にとって攻撃の立証を困難にできる好都合なツール」とし、一方で手離れの良さで考えればBlackshadesのような遠隔操作が必要なツールは非効率であるため、標的を絞る攻撃などに利用されるのではないか、と分析している。

関連ホワイトペーパー

フィッシング | EMC | 暗号化 | トロイの木馬 | ボットネット | DDoS攻撃 | ホスティング | マルウェア | スパム | ストレージ