検索
特集/連載

もはや手が付けられない 金融機関を狙って進化するマルウェア攻撃は標的型に移行

金融機関を狙ったマルウェアが進化を続けている。手口がより高度化、巧妙化したマルウェアは、金融機関にとってますますの脅威となりつつある。銀行各社も対策を進める必要がある。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 金融機関を狙ったマルウェア(フィナンシャルマルウェア)が進化し、次々と新たな能力を備えるようになってきた。その多くは高度な通信テクニックを駆使しており、攻撃を検知するのは不可能に近い。こうした状況の中、金融機関と消費者を狙うマルウェアの実態について述べたリポートが公表された。

 情報セキュリティを専門とする米NSS Labsで調査担当副社長を務めるケン・ベイラー博士によるリポート「The Cutting Edge is Honed」(研ぎ澄まされる刃先)は、フィナンシャルマルウェアが2013年に進化を遂げたと指摘する。同リポートによると、金融機関をターゲットとするマルウェアの背後に潜む犯罪集団は現状に満足することなく、既に大きな成果を挙げているマルウェアに対して、防御をさらに困難にするような新機能を追加しているという。

 こうした新機能の中にはクリックを促す手法なども含まれている。それはマーケティング会社もうらやむような高度な技術だ。

 「今では彼らは、ユーザーの画面を動画としてキャプチャーし、ユーザーがポップアップ画面に社会保障番号を入力しているところを見たり、マウスの操作を監視し、ユーザーがボタンをクリックするかどうかで何秒間ためらうかを知る、といったこともできるようになっている」とベイラー氏は述べている。「ユーザーに情報を提供させるのに、ポップアップ画面がどの程度効果があるのかを確認するための品質検査まで行われている。この分野では多くのイノベーションが見られる」

改良進むフィナンシャルマルウェアのC&Cシステム

 NSS Labsによると、動画キャプチャーという手法が利用されているだけでなく、フィナンシャルマルウェアの作成者たちは、ボットネットの通信をさらに巧妙に隠す必要もあるという。

 「近年、セキュリティプロフェッショナルとサイバー犯罪者の戦いは、いたちごっこの様相を呈してきた。ボットネットを追跡している米Microsoftなどの企業は、感染したマシンに指令を伝達するのに使われる指令制御(C&C:Command and Control)インフラに狙いを定めることによって、マルウェアとの戦いに勝利した」とベイラー氏は指摘する。

 Microsoftは2013年6月、「Citadel」というマルウェアに対する大規模な作戦を展開した。この作戦で同社はCitadelボットネットの88%を破壊したと伝えられているが、Citadelはその後、息を吹き返した。

 「C&Cマシンを除去することができれば、ボットは通信相手を失い、悪事を働くことができなくなる」(ベイラー氏)

 C&Cインフラが攻撃のターゲットになったため、フィナンシャルマルウェアの作成者たちは、ドメイン生成アルゴリズムの機能を利用して、感染マシンが通信できるドメインをランダム化するという作戦に出た。「だがこれに対しても、米Damballaなどのセキュリティベンダーが、過去7日以内に作成されたドメイン名と企業の社内マシンとの間の通信を特定することにより、この動きを食い止めるのに成功した」とベイラー氏は語る。

 その結果、犯罪集団は企業に怪しまれることのない通信手段を考え出さざるを得なくなった。例えば、最近再び活発化してきたマルウェア「Shylock」はかつて、感染マシンとC&Cインフラとの間の通信を隠蔽するのに「RC4」という暗号化方式を使っていた。ベイラー氏によると、RC4は強力な暗号化方式としての目的を果たしたが、社内ネットワーク上では目立ちやすく、攻撃者の活動がセキュリティチームに気付かれるケースが多かったという。Shylockにはその後、多くのネットワークで一般的に用いられているために目立たつことのないSSL(Secure Sockets Layer)暗号化が採用された。

 2008年に初めて発見された、銀行を狙うバンキング系トロイの木馬「Taidoor」も大幅に改造され、従来のC&Cサーバの代わりに米Yahoo!のブログを利用する方式が採用された。これは、暗号化されたコマンドをブログに埋め込むという方法だ。これらのコマンドは一般的なWebフォームの中に仕込まれるため、いったんマシンが感染すると、そのブログにHTTPリクエストを送信し、次の命令を受け取る。TaidoorはYahoo!のような信頼されたドメインを通信に利用することにより、通常のボットネットインフラをスキャンするセキュリティ製品を回避できたのだ。ShylockがSSLを利用する手口と比べると、恐らくこういった攻撃手法の方が発見しにくいと思われる。

 「これについて、企業は誰の助けも当てにできない。通常の時間に通常のHTTPリクエストが現れた場合、これを見分けるのは難しい。正常なトラフィックと異常なトラフィックを監視していても絶対に気付かないだろう」とベイラー氏は話す。「森の中に木を紛れ込ませるようなものだ。この新手法は非常に効果的だ」

標的型に移行するフィナンシャルマルウェア

 ベイラー氏によると、フィナンシャルマルウェアは標的型としての性格を強めてきたという。韓国のオンラインバンキング利用者を狙ったバンキング系トロイの木馬「KRBanker」も、サイバー犯罪者たちがフィナンシャルマルウェアのローカライズ(地域対応化)を進めていることを示す一例だ。

 韓国のオンラインバンキングシステムは、各国のシステムとは切り離された形で開発され、こうした分離がもたらした結果として、ユーザーに割り当てられたデジタル証明書に大きく依存する。KRBankerはこれらの証明書を収集するように設計されており、これを利用する犯罪者たちは韓国の銀行に容易に侵入することができた。

 フィナンシャルマルウェアがバンキング情報を収集するのに利用する不正ポップアップ画面も、ますます巧妙化するとともに標的型へと進化しつつある。「例えば、米Citibankだけに照準を合わせている犯罪集団もあるだろう。彼らはCitibankのファンド名とロゴを調べて、それらと同じものを使用すれば、正式なフォームと全く同じ外観をまねることができるのだ」とベイラー氏は指摘する。

 以前であれば、消費者はこうしたポップアップによく見受けられた文法ミスに注意することで詐欺かどうかを判断できたかもしれないが、最近ではこうした弱点も解消されている。

 「文法ミスも改善された。英語の用法にはやや違いがあるが、それぞれの国では標準的な表現だ」とベイラー氏は語る。「『あれ、何か怪しいぞ』と気付くというのは、もう昔の話だ。彼らは高度に組織化された集団だ。狙いを定めて徹底的な調査をしている」

防御の改善進むも道遠し

 こうした高度なフィナンシャルマルウェアの攻撃を防ぐ方法について、ベイラー氏は悲観的な見通しを示している。セキュアなブラウジング方式を試した銀行もある。そうした方法の1つが、特定のオンラインバンキングシステムとの通信だけを許可し、それ以外の通信を全て遮断するダウンロード型Javaアプレットを使用するというものだ。他の通信を通じてプロセスが入ってきた場合はその接続が解除される。

 一方、銀行各社も対策を進めている。ネットワーク境界の内側にビッグデータ技術を実装し、あらゆるユーザーの全てのトランザクションを追跡するというものだ。フロードエンジン(マルウェア検知エンジン)はこれらの最新データに基づき、顧客が新たに行ったトランザクションを過去のトランザクションと比較し、異常なパターンが検出された場合はアラートが通知される。残念ながら、こうした技術を実装するには数年の期間を要するため、当面の対策にはならない。

 ベイラー氏によると、結局のところ、現時点でフィナンシャルマルウェアと戦う有効な方法としては、法的手段くらいしか残されていないという。例えば、2013年にはバンキングマルウェア「Carberp」を使っていた犯罪グループがロシアで逮捕された。だが詐欺集団を逮捕するために国際協力を得るのは極めて困難であり、ロシアなどの国々の犯罪集団は現地の取締当局の監視の目を避けるために自国のユーザーを狙わないようにしている。「NSA(米国家安全保障局)の元職員のエドワード・スノーデン氏による米国のスパイ活動に関する機密漏えいが各国に恐怖感を与えたことで、こうした協力が一層困難になるだろう」とベイラー氏は指摘する。

 「彼らの攻撃を阻止する手段はあるのかといえば、答えはノーだ。もはや手が付けられない状態だ」(同氏)

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る