セキュリティー・インテリジェンス

日本に迫る金融系マルウェアUrsnif 攻撃キャンペーンの波

サイバー犯罪組織が操る金融系マルウェアの活動をモニターした IBM X-Force のデータにより、金融機関を標的とするトロイの木馬型マルウェア Ursnif (別名 Gozi) が、2016年度および 2017年の現在に至るまで、金融セクターにおいて最も活発なマルウェアであることが示されました。

Ursnif の活動には、頻繁なコード変更と、北米、ヨーロッパ、オーストラリアでの攻撃キャンペーンという 2つの特徴があります。しかし、2017年の最も狙われた国の1つとして日本の金融機関があります。Ursnif を操る犯罪者は 2017年9月から非常に活発に行動し、10月に入っても引き続き定期的にユーザーにスパムを送信しています。

Ursnif の設定ファイルは時にさまざまな対象を標的としていますが、日本で使用されているものは、標的を主に金融機関とクレジット・カード会社に絞っています。標的のリストは、攻撃キャンペーンが異なっていても変わらず、恐らく同一の犯罪者が関与していることが考えられます。

金融機関に加え、日本で使用されている Ursnif の亜種は、ウェブ・メールや、クラウド・ストレージ、仮想通貨取引所、そして eコマース・サイトの認証情報をも標的にしています。

X-Forceの解析によると、日本のユーザーに対する攻撃手法としては、安全性の高いセッションからのデータ・グラビング、ウェブ・インジェクション攻撃、場合によってはページのリダイレクトが指摘されています。以前の手口、例えばビデオ・グラビングは、現在、鳴りを潜めていますが、これは犯罪者が現地情報に詳しい者か、または日本の銀行システムに非常に詳しい者であることを示唆しています。

Ursnifを送り込む手口は、日本では夏に検知されてから、攻撃キャンペーンを通じて一貫しています。金融機関やクレジットカード会社と偽って、マルウェアが組み込まれたOfficeファイルを添付したメールを送りつけます。

Ursnifを運ぶ悪意のある添付書類のついたメール

図1 : Ursnifを運ぶ悪意のある添付書類のついたメール (出典: IBM X-Force)

その他のスパムの形態としては、HTMLメールを送りつけてリンクをクリックさせ、JavaScript が含まれるアーカイブ (zip) ファイルにユーザーを誘導、そしてそのスクリプトから PowerShell スクリプトを起動させてリモート・サーバーからペイロード (マルウェアの本体) を取り出してユーザーを Ursnif に感染させるものがあります。ペイロードは、乗っ取られたドメインからではなく、悪意あるコードを供給するために攻撃者が登録したウェブ上のリソースから配信されているようです。

Ursnifへ誘導する悪意のあるリンクのついたメール

図2 : Ursnifへ誘導する悪意のあるリンクのついたメール (出典: IBM X-Force)

最近の Ursnif スパム・キャンペーンでは、ユーザーが悪意あるファイルを閉じた後にのみ PowerShell を起動させるマクロ回避テクニックが使用されています。この手法によりサンドボックスの検知を回避できます。その詳細についてはこちらで紹介しています。

X-Force のデータでは、攻撃キャンペーン・メールの数は1週間周期で跳ね上がり、通常、火曜日の夜にピークがあります。実際の攻撃行動は、木曜日と金曜日にピークを迎え、週末から週明けの数日間は比較的静かになります。

Ursnif を操る犯罪者は、スパムだけを使用しているというわけではありません。英国などで、金融機関が標的となる際は、RIGエクスプロイト・キットを使用して 悪意のある広告キャンペーンによりユーザーを感染させています。

 

日本が狙われる理由

犯罪組織はなぜ新たな地域に進出するのでしょうか。マルウェアの活動地域の変化を見ると、潤沢なリソースを持つサイバー犯罪組織は、簡単に盗める金や、セキュリティーの緩い場所、資金移動においてスパムやソーシャル・エンジニアリングに疎く不意を突き易いユーザーを探しています。

日本における組織的サイバー犯罪の歴史はあまり長いものではありません。過去5年間の特徴として挙げられるのは、簡単に手に入るマルウェアと、プロキシー・チェンジャーを使用するその地域の犯罪者がほぼ全てでした。この状況は、2015年の夏、トロイの木馬型マルウェア Shifu が登場し、日本がその最大の標的の1つとなった後に、悪化し始めました。

Shifu の日本での活動は徐々に沈静化し、2017年に消えて行きましたが、このサイバー犯罪グループは、URLZoneRovnix といったマルウェアに門を開き、Ursnif の攻撃のステップアップを招いたということにおいて極めて重要な役割を果たしました。Shifu は、後に続く他のマルウェアにツールがコピーされたり、ローカルの犯罪者と共謀できるようにしたことなど、スパムやソーシャル・エンジニアリングを行う上での土台を作りました。

この問題は次の疑問を投げかけます。なぜ Dridex や TrickBot といった他の組織は、それぞれ少なくとも 40 カ国以上に広がっていながら、いずれも日本の銀行を標的にしていないのでしょうか。その答えは、他の犯罪組織と地元のサイバー犯罪および資金洗浄集団とのつながりにあるかもしれません。そして、場合によってはインターネットにおいてさえ、犯罪組織は縄張りに固執するのかもしれません。

 

Ursnif とは

Ursnif (別名 Gozi ) はもっとも古くから活動している金融マルウェアの一つです。Ursnif が最初に発見されたのは2007年です。当時は、少人数の開発者と犯罪者で構成される特定の犯罪組織により運用され、英語を母語とする国の金融機関を標的とした不正アクセスに使用されていました。

その後、2010年の後半、その犯罪組織内での Ursnif v2 へのアップグレード作業中に、開発者の一人が誤って Ursnif v1 のソース・コードを漏洩したことにより、そのソース・コードを入手した他の犯罪組織が、Vawtrak や Neverquest のような新たな金融マルウェアを開発するきっかけとなりました。

Ursnif v2 自体は2010年の終わり頃から活動を開始し、新たなウェブ・インジェクション機能を駆使して、欧州、英国、米国の金融機関を標的としました。Ursnif は、その後も積極的に様々な技術を取り入れ、インターネット・バンキングのサイトに認証情報等を搾取するページを意図的に挿入する手法も採用しています。

2013年の中頃には、Ursnif の開発者は MBR ルートキットを追加し、コンピューターのマスター・ブート・レコード (MBR) と呼ばれる領域を利用することで、駆除を非常に困難にすることに成功しています。

Ursnif v2 のオンライン不正機能は、以下の手法を使用しています。
– スクリプトを使ったウェブ・ブラウザーの操作
– ウェブ・インジェクションおよび、マン・イン・ザ・ブラウザ (MitB) 攻撃
– フォーム・グラビング (個人情報、および認証情報の窃取などのため)
– スクリーンショットとビデオの撮影 (操作手順の窃取のため)
Hidden VNC と SOCKS プロキシ攻撃

Ursnif v2 には従来から hVNC 機能が実装されていますが、犯罪者はいつでも自由に hVNC を起動することができます。IBM X-ForceはUrsnifのVNCモジュールを分析し、そのアーキテクチャーと内部動作を明らかにしました。その他、Ursnif v2 には、Tor (The Onion Router、トーア) の匿名サービスを利用する通信機能も実装されています。

Gozi の機能がサイバー犯罪に利用されたもう一つの例としては、2016 年4 月にIBM X-Forceの研究者によって発見されたハイブリッド型のGozNym です。

GozNym は、Gozi の攻撃モジュールをコードに埋め込んだNymaimから作られ、サイバー犯罪組織によって利用されました。GozNymは2016年の終わりに組織のメンバーの逮捕 により、終焉を迎えました。

 

グローバルの視点

以下の図は、全世界を対象に2017年の金融機関を標的にしたマルウェアの内訳です。

全世界で検知数の多い上位マルウェアのグループ

図3 : 全世界で検知数の多い上位マルウェアのグループ (出典: IBM X-Force / 2017年10月現在)

2017年にはトロイの木馬型マルウェア Neverquest が大幅に減少し、Ursnif は世界的に3番目、そしてその後2番目に多いマルウェアになりました。Ursnif の攻撃の拡大は、標的とする地域の拡大に関係しています。その例として2017年には、北米、オーストラリア、日本の金融機関を攻撃対象とする中、ブルガリアとポーランド、スペイン、チェコを標的とする新たな設定が確認されました。

開発サイクルの面では、Ursnifは2016年の最も活発なマルウェア・プロジェクトであり、セキュリティの調査や検出を常に回避するようローダーとバイナリに多くの更新が行われました。そして2017 年もその状況を維持しています。

IBM X-Force の確認では、Ursnifは日本で過去5年間で最も活発なマルウェアです。IBM X-Force の研究者は、Ursnif の3番目のバージョンのオーストラリアでの攻撃も注意深くモニターしています。

さらに詳しく セキュリティー・インテリジェンス 記事
2017-09-27

2017年上半期 Tokyo SOC 情報分析レポート

本レポートは、IBMが全世界8拠点のセキュリティー・オペレーション・センター(SOC)にて観測したセキュリティ […]

さらに読む

2017-12-05

FIT2017(金融国際情報技術展) イベントレポート ~オープンAPI時代の金融機関におけるセキュリティーとは~

2017年10月26日、27日にFIT2017(金融国際情報技術展)が、東京国際フォーラムで開催されました。2 […]

さらに読む

2017-11-24

IBM、消費者と企業のプライバシー&セキュリティーを向上させる無料のDNSサービスを開始。その名は「Quad9」

IBMは、プライバシーとデータ保護を強化するための強力で革新的な方法を長い間提唱しており、このたび、Quad9 […]

さらに読む

2017-11-21

手軽な SaaS 版でコスト削減へ!Watson を活用したセキュリティー・プラットフォーム最前線

Webセミナーのご案内 セキュリティー運用者を悩ます最大の課題は、ランサムウェア攻撃などの巧妙なセキュリティー […]

さらに読む