不正情報詐取防止

邦銀を狙う攻撃的マルウェア、Rovnix

Rovenix hits Japanese Bank
IBM X-Force の研究者は、インターネット・バンキングを標的にするトロイの木馬型マルウェア Rovnix を用いるサイバー犯罪組織が新しい攻撃的な感染キャンペーンを日本で開始したとしています。
Rovnix は、2015 年 8 月に日本での攻撃を開始したインターネット・バンキングを標的にするトロイの木馬 Shifu に続き、日本に狙いを定めた高度なマルウェアです。Rovnix を用いる犯罪 組織は欧州の銀行を狙うことで知られていますが、現在の感染キャンペーンでは、邦銀 14 行を対象に攻撃を仕掛けています。
この感染キャンペーンは、まず 2015 年 12 月の上旬にみられ始め、無害と思わせる .zip 形 式の添付ファイルに Rovnix ダウンローダーを隠した状態のメールが送信されます。スパム自体は .ru (ロシア)ドメイン上の メール・アドレスから来ています。その一つの例として、国際的な輸送会社からの配送の連絡を装うという、最も一般的な手口を利用したものがあります。受信者はこれをうっかり開いて、添付のアーカイブ (.zip) ファイルからRovnixのダウンローダーを実行してしまう場合があります。

figure1

X-Force の研究者によると、Rovnix は、日本語で書かれたスパム・メールと、邦銀を攻撃するために独自に改良された新しく複雑な構成ファイルを用いており、日本での攻撃に向けて入念に準備してきたことがうかがえます。
IBMの研究者は、日本に特化した Rovnixの構成ファイル内に、この犯罪組織が狙った各銀行向けの攻撃内容が記載されているのを発見しました。Rovnix は Webインジェクションを行うため、外部の不正サーバーから不正のスクリプトをダウンロードし、利用するような仕組みを持っています。Webインジェクションとは、Rovnix に感染した端末でユーザーが攻撃対象銀行へアクセスをした場合、ユーザーのウェブブラウザー上で銀行のウェブページを改ざんした偽画面を表示するものです。Rovnixによるインジェクションは、もともとのページの大部分を変更し、被害者が2番目のパスワードまたはトークン情報を入力するように仕向けて、不正送金を成立させようとします。
Rovnixが利用する Webインジェクションの仕組みは、開発者によりアンダーグラウンド・サイバー犯罪組織に販売されたものです。この開発者は、対象銀行のウェブページの外観をそっくり真似るためのコードの作成と、対象銀行におけるユーザー認証方式、及び認証プロセスを深く熟知しています。
場合によっては、Rovnix は、被害者に電話番号入力を促す Web インジェクションを利用した偽画面を表示し、Android アプリをモバイル端末へダウンロードさせようと試みます。このアプリには、Rovnix の SMS ハイジャッカーが仕込まれています。これがダウンロードされると、モバイル・アプリ内のRovnixは、銀行のインターネットバンクから送られる認証コードが、SMS を介して受信されるのを傍受します。
日本語に特化したソーシャル・エンジニアリングとモバイル・マルウェアの組み合わせから、Rovnix の背後にある犯罪組織が、日本の利用者から不正に金銭を窃取するのに必要な手立てをすべて揃えたうえで、攻撃キャンペーンに向けて準備してきたことがわかります。
Rovnix の攻撃者は、Shifu の威力が下火になった頃から日本で見られるようになっています。 Shifu の犯罪組織が日本での攻撃を減速させた理由については明らかになっていませんが、東欧のサイバー犯罪組織にとって、日本は依然として大きな利益をもたらす攻撃対象であるといえるでしょう。

世界での位置付け

Rovnix は、そのブートキット機能から、非常に悪質なマルウェアと考えられています。以下は2015年の全世界を対象にしたマルウェアの中でのRovnixの位置付けです。IBM X-Forceデータは、NGRbot (別名: DrokBot) のボットネット解体後、Rovnix が世界的マルウェアのトッ プ10に入ったことを示しています。ただしRovnixは通常1つの国を狙って攻撃するため、Dyre や Neverquest のようなマルウェアと比べると、世界的な波及という点では限界があります。
次のグラフは、2015年の世界規模で上位にランクするアクティブなマルウェアのグラフですが、Rovnix は金融機関を狙うマルウェアとしてランク入りしています (出典: IBM Trusteer)。

figure2

執筆時点で、IBM X-Force により分析された Rovnix サンプルにおいて、Rovnixとして的確に検知できたのは、セキュリティー対策製品のベンダー 54 社中 4 社 (7%) のみでした。

予想される日本での動向

日本語という言葉の壁によって、2000年代の初頭から2015年にいたるまでは、インターネッ ト・バンキングを標的にするトロイの木馬の多くから、日本は比較的守られていました。しかし、アジア太平洋地域を標的にしたサイバー犯罪が費用をかけて開始されたことによって、平和な 状態は明らかに消えました。
日本でも 2015 年の夏からは、世界で最も巧妙な部類に入る、インターネット・バンキングを標 的にするトロイの木馬による邦銀への攻撃がみられるようになりました。日本を狙った Tsukubaや、高度にモジュール化されたShifu、ならびに現在のRovnixなどを考慮すると、国内および東欧からのサイバー犯罪組織にとって、日本は多くの利益をもたらす標的として認識されています。そして日本の金融機関が狙われていることは明らかです。
IBM X-Forceの研究者は、Rovnix が引き続き日本での攻撃キャンペーンを増強していくと予想しています。また、国内および東欧からの、その他の犯罪組織も、日本の金融機関を狙うようになると考えています。

IBM® Security Trusteer® ソリューションについて

IBM® Security Trusteer® ソリューションを利用することで、金融機関は攻撃者によるマルウェアからの脅威をリアルタイムで検知するためのマルウェア・インテリジェンス・ネットワークにアクセスできるようになります。このグローバルな脅威に関するインテリジェンスは、IBM Security Trusteer の基盤としての役割を果たし、IBM Security の専門家による保護を提供します。
IBM では、セキュリティー専門家で構成される研究開発 (R&D) チームが Trusteer で保護される端末と、アンダーグラウンドのサイバー犯罪市場の両方のソースから、脅威インテリジェンス を入手するたびに徹底的に調査します。IBM Security Trusteerソリューションはこのインテリ ジェンスを使用して、IBMの R&D スタッフによる迅速な構成・更新が可能な、柔軟な保護層を提供します。結果として、新たな脅威が出現したり、脅威に変異があった場合は、新たな保護が可能な限り迅速に、自動的にTrusteerソフトウェアに展開されます。

IBM® Security Trusteer Rapport®
Rovnix ブートキットのインストールを阻止

IBM® Security Trusteer Pinpoint™ Malware Detection
パッシブおよびアクティブ検知

IBM® Security Trusteer Pinpoint™ Criminal Detection
アカウント乗っ取り (ATO) に対 する保護

IBM® Security Trusteer Apex™ Advanced Malware Protection
Rovnix アクティビ ティーから保護

(出典:Security Intelligence より訳出 “Konnichiwa, Rovnix! Aggressive Malware Hits Japanese Banks” By LIMOR KESSEM 2016年1月7日)

記事をシェアする:

シェア オン LinkedIn

コメントを追加する
コメントなし

コメントを残す

さらに詳しく 不正情報詐取防止 記事
2015-09-28

Shifu:日本の銀行14行を標的にした、「熟練の技」を持つ新トロイの木馬が出現!

バンキングを対象にした、新たなトロイの木馬が出現しました。IBM Security X-Forceは、これを「 […]

2015-08-03

犯罪者に狙われるPOSシステム

ポイント・オブ・セール(POS)マルウェアは情報セキュリティーのガンとも言うべき存在です。7年も経たないうちに […]

2016-10-24

IBMのTrusteerソリューションを導入している企業が サイバー犯罪詐欺防止コストを90%削減したと フォレスター・リサーチが報告

サイバー攻撃の脅威は、金融機関にとって絶え間なく続く課題です。金融企業は日々、悪意あるマルウェアやその他膨大な […]