不正情報詐取防止

日本で増加する組織的サイバー犯罪 – URLZone の登場

URlZone_hero

組織的サイバー犯罪組織が日本の銀行に対して高度なオンライン・バンキングを標的にするトロイの木馬「Shifu」による攻撃を開始した 4 カ月後、IBM X-Force 研究者は、トロイの木馬「Rovnix」を使用する第 2 の犯罪組織が日本の銀行の顧客に狙いを定めていることを報告しました。その後 1 カ月足らずの今日、第 3 の悪名高いサイバー犯罪組織、URLZone チームが、邦銀 14 行を狙って行動を起こしています。
サイバー犯罪の活動対象となる地域の移行には明確な傾向があり、邦銀を攻撃するというこの第 3 の組織の動きは、日本における不正行為の基盤が巧妙化していることをはっきりと示しています。

このような犯罪組織はなぜ日本に活動範囲を広げているのでしょうか。大抵のマルウェアの不正活動範囲の移行は、十分な資金、人員といった、豊富なリソースを持 つサイバー犯罪組織が、お金を楽に稼げるという環境と、突破できる可能性があるセキュリティー、そして意外性を求めて行うものです。特に、欧米の顧客と比べてサイバー犯罪に遭遇することが少なく、サイバー攻撃に対するリスク意識も欧米より低い日本の顧客をターゲットにする時は、上記の要因を考慮し、攻撃の成功率を高めようとしているのかもしれません。

長年日本はその言語の特殊性から、多くのサイバー犯罪から「保護」されてきまし た。その理由としては、自動翻訳をしたテキストが不完全だったり欠損があるとしても、英語への修正は容易ですが、日本語翻訳ははるかに厄介で、精度が落ちることで正しい文面にし難いためです。また、多くのサイバー犯罪一派を日本から遠ざける側面として、Webで不正行為を働くための基盤が現地にないと考えられることが挙げられます。マネー・ミュール (不正資金の運び屋) の採用を日本語で行い、現地の犯罪者の手を借りて日本の銀行および支払いシステムを理解する必要性があります。

ツールおよび人脈構築は、日本では時間と資金がかかります。サイバー犯罪者には 投資する余裕がなかったり、そもそも投資する気がない場合もあります。そのため、 東欧からトロイの木馬を操る小規模な一派は、通常、すでにリソースを持つ地域に攻撃をしかけ、日本のような独自言語地域では、不正行為を行うツールや現地チームの構築に投資をしないこともあるでしょう。

組織犯罪という点では、日本の猶予期間は終了しました。他のマルウェア、例えば Tsukuba などが実際、日本の銀行を標的としましたが、Shifu の攻撃が開始されて初 めて日本が危機的状況にあることが明らかになったのです。組織的なサイバー犯罪に関していえば、多くの意味で Shifu がその後の事態の土台を築きました。

高い汎用性

Shifuのようなオンライン・バンキングを標的にするトロイの木馬が、他の攻撃者のために下地を作るのは一体どういう理由からなのでしょうか。実際の攻撃活動から得られた情報によると、サイバー犯罪組織はリソースを共有し、不正攻撃用途のツールを互いに購入し合ったり、同一の悪意あるベンダーから購入したりしていると、IBM X-Force 研究者は指摘しています。

Shifu のサイバー犯罪組織が日本語で攻撃を行うための感染、攻撃の仕組みや Webインジェクションを設定し、日本の銀行についての知識を得てしまえば、他の組織 に必要な作業もほとんど済んでしまい、他の組織はこの新たな地域への参入に投資できます。残念なことにサイバー犯罪は活況を呈している闇ビジネスです。サイバー犯罪組織はそこら中にいて、金を稼ぐためには、時に、密かに協力し合います。

例えば、オンライン・バンキングを標的にするトロイの木馬Rovnixです。このマルウェアが 2015 年 12 月に日本で攻撃を開始した時に選択した手法には、他のマルウェア攻撃で多く利用される、Webサイトに表示されている Web広告からマルウエアを感染させる「マルバタイジング」手法や、特定アプリケーションの脆弱性を利用し、感染されWeb サイトを閲覧しただけでマルウェアに感染させる「ドライブ・バイ・ダウンロード」手法は使用していません。その代わり、Shifuと同様に、日本でのユーザーへの感染に使用した手法、つまりスパム・メールによるユーザーへの感染でした。

類似点は、日本語メールの使用にとどまりません。Rovnix の開発者はまた、Shifu の既存の感染、攻撃の仕組みとWeb インジェクションを利用したことです。恐らく、これらを分析した後にいくつかの要因を自身の感染、攻撃の仕組みに適用したのでしょう。こうした戦術は珍しいことではありません。例えば、2015 年 10 月に IBM X-Force 研究者は、Dridex が英国での Shifu の攻撃のいくつかを模倣しており、Shifu もまた Neverquest が導入したものと同じWeb インジェクションを使用していると指摘しました。

URLZone の登場

2016 年 1 月には、URLZone のサイバー犯罪組織が邦銀を標的にしている攻撃者の仲間に加わりました。この進化は、Rovnix のケースからわずか 2 週間で起こりました。ここでも同一の感染手法が選択されました。つまり、有害な内容を含むファイルが添付されたスパム・メールです。マルウェアそのものは高度で複雑だと考えられますが、現在の標的リストと Web インジェクションは基本的なものであると思われ、専門の 悪意あるベンダーが開発し、それが購入された可能性があります。

URLZone のサイバー犯罪組織は、他の組織がすでに日本で攻撃を行った後に同国に 参入しているため、オンラインバンクの認証情報を盗み、不正送金の代行、資金洗浄業務をする口座や、現地で協力を得られるサイバー犯罪の代理人を確実に得ることができた可能性は非常に高いといえます。

URLZone について

「Bebloh」や「Shiotob」としても知られているオンライン・バンキングを標的にするトロイの木馬 URLZone は、2009 年に初めて発見され、その時は主にドイツの銀 行を攻撃していました。その当初から、このオンライン・バンキングを標的にするトロイの木馬は、ユーザー、研究者の両者から悪意ある行為を隠蔽する特殊な手法 により、最も先進的な「次世代」の悪意あるコードの 1 つであると考えられていました。例えば、アカウントからほぼすべての残高を盗み出した後、URLZone は Web インジェクションを使用して残高を差し替え、被害者のオンライン・バンキング・アカウントの表示から、その取り引きが記載されている内容を隠蔽します。

さらに、不正送金が行われたアカウントのリストを研究者から隠蔽するため、マルウェアは各感染マシンを検証し、そのマシンが実際にボットネットの一員であり、仮想マシン上で動作していないことを確認して初めて、不正送金用途のアカウントを提供します。感染したマシンが上記の条件に合致しない場合、URLZone の指令 サーバー(C&C)は無関係の銀行口座番号を送り返し、研究者や銀行を混乱させます。この機能は URLZone 独自のものといえ、最も興味深い仕掛けの一つだと考えられています。

現在、URLZone には 2 つの異なるバージョンが存在しますが、このオンライン・バンキングを標的にするトロイの木馬は、少数のサイバー犯罪組織に所有されており、 欧州の銀行の顧客に詐欺行為を働くために使用されていると報告されています。
2009 年に URLZone は LuckySploit という、様々な脆弱性攻撃に対応できるように つくられたエクスプロイト・キットを使用してユーザー感染を試み、1 カ月足らずで銀行から 50 万ドル以上を盗み出しました。2009 年から 2013 年には、ゲルマン語派の国々の銀行のみを一般に標的としていたことから、小規模だと考えられた活動で URLZone は使用されました。2013 年には更新版が出現し、セキュリティ製品の回避機能、仮想環境検知機能の向上、感染システムへの常駐機能強化といったものが追加されました。

2013年から 2015 年にかけて、このオンライン・バンキングを標的にするトロイの木馬とそれを操作するサイバー犯罪組織の活動は引き続き小規模だったと考えられ、 2015 年の大半はほぼ沈黙を守っていました。
この状況は、IBM Trusteer 研究者が URLZone の新たな更新版を発見した 2015 年 8 月 に一変しました。全体として、マルウェア自身の更新では自身の不正行為の隠蔽のため、解析ツール検知後には不正行為をしないなどの、解析防止機能などが更新されました。また、イギリス、イタリア、ポーランド、クロアチアの銀行の顧客を標的にした新たな構成ファイルも内蔵されました。
2015 年 8 月以降、URLZone は攻撃およびコード更新のいずれにおいても、活動が活発化しています。2015 年 12 月には、スペインの銀行を攻撃し始め、2016 年 1 月には日本の銀行を標的にしています。
新しい URLZone の攻撃対象を地理的観点から見ると、標的とする攻撃対象の数では縮小していますが、引き続きスペインの銀行を攻撃していることを示しています。

図 1: 現在の構成における URLZone の標的地域
URLZONE_Attack

 

 

 

 

 

 

URLZoneによるオンライン・バンキングの顧客に対する詐欺行為を可能にする上位機能には以下のものがあります:
 - 顧客のオンライン・バンク認証情報の窃取
 - スクリーン・ショットの収集
 - ソーシャル・エンジニアリングや口座残高隠蔽を行うためのWebインジェクション
 - トランザクション・オーケストレーション・パネルの使用
 - 接続先ドメイン名生成の仕組みであるDGA(Domain Generation Algorithm)の利用
 - 暗号化された C&C 通信
 - 暗号化されたWebインジェクション構成ファイル
 - 手の込んだセキュリティー対策製品回避機能、および解析防止機能

世界での位置付け

今年の世界的なマルウェアのリストにおけるURLZoneのランキングに関していえば、 IBM Security のデータによると、このマルウェアはトップ10には入っていないことが示されています。通常 URLZone は同時に 1 ~ 2 カ国に攻撃を仕掛けるため、今のところ世界展開は概して限定的です。
下図 (図 2) は、2015 年 1 月から 2016 年 1 月現在までのオンライン・バンクを標的にするマルウェアとして上位にリストアップされているものを示しています。

図 2: 世界規模で最も活動的な上位マルウェア (IBM Trusteer、2015 年 1 月から 2016 年 1 月現在)
Attacks

分析された亜種のサンプル

MD5: b24dec9f053f8e3ff698aea4e4eb4ccd

IBM Security Trusteer ソリューションについて

IBM Security Trusteer は、URLZone 攻撃を研究し阻止するためにお客様と協力しており、この高リスクの脅威について詳細を把握しようとする銀行の力になることができます。URLZoneのような脅威の阻止を支援するために、銀行やサービス提供者は、自社組織が存在する地域にマルウェアが活動範囲を移行してきたり、新たなフォーカスを見出した時に、適応ソリューションを使用して感染の検知とお客様のエンドポイントの保護を行うことができます。
銀行側から見れば、URLZone の攻撃のように巧妙化する脅威との戦いは、適切なマルウェア検知ソリューションで容易になります。常に変化する脅威の状況に対応するように設計された保護レイヤーで、金融機関は、詐欺師の手法と能力に対するリアルタイムの知見を提供する IBM Security のマルウェア・インテリジェンスからメリットを得られます。

IBM® Security Trusteer Rapport®
URLZone の検知、ブロック、及び駆除対応

IBM® Security Trusteer Pinpoint™ Malware Detection
パッシブおよびアクティブ検知

IBM® Security Trusteer Pinpoint™ Criminal Detection
アカウント乗っ取り (ATO) に対する保護

IBM® Security Trusteer Apex™ Advanced Malware Protection
URLZone アクティビティーから保護

(出典:Security Intelligence より訳出 Organized Cybercrime Big in Japan: URLZone Now on the Scene BY LIMOR KESSEM 2016年2月1日)

記事をシェアする:

シェア オン LinkedIn

コメントを追加する
コメントなし

コメントを残す

さらに詳しく 不正情報詐取防止 記事
2016-09-26

URLZoneの仮想環境検知機能を突破する:WinDBGでの解析

URLZone(別名:BeblohまたはShiotob)は、金融機関を標的とする高度なマルウェアで、2009年 […]

2015-09-30

一夜にして本格的な金融マルウェアに大変身したCoreBot

つい先月、セキュリティー・インテリジェンスは、CoreBotという新型のトロイの木馬について警告し、その中でC […]

2016-07-21

GootKit:検知機能を回避し、絶え間なく進化するマルウェア

2014年夏に発見されたGootKitは、アンダーグラウンド・フォーラムで販売されているものではなく、特定の閉 […]