セキュリティー・インテリジェンス

あの金融マルウェアは今?かつて日本で猛威を振るったShifu

記事をシェアする:

サイバー犯罪を取り巻く脅威の状況は非常に動的です。2016 年には 1 億種ものマルウェアが独立調査機関AV-TESTにより確認され、非常に簡単に入手できるものとなっています。より高度なサイバー犯罪組織や金融系トロイの木馬型マルウェアの犯罪に関しても、マルウェアの種類は明確で簡単に認識できます。その進化のペースは追跡可能で、標的は IBM X-Force 研究所により常時監視されています。
サイバー犯罪組織が所有するマルウェアを使用して犯罪者は莫大な金額を盗み出せます。通常、これらマルウェアのコードが、法的機関による取締りがあったなど明確な理由もなく消えることはありません。しかし、いくつかの例外が存在するようです。
IBM X-Force のデータによると、2017 年に明らかな外的な理由もなく、主要サイバー犯罪組織のいくつかが実際にサイバー犯罪の表舞台から退きつつあります。徐々に姿を消したものや、2017 年に活動を停止しつつあるものとしては、Shifu、Tinba、Neverquest、Qadars、GozNym などの名前があげられます。これらのマルウェア・コードは以前はどこにあったのでしょうか、そして、現在はどこにあるのでしょうか?

マルウェア Shifu の追跡

Shifu は、金融機関を狙った巧妙なトロイの木馬型マルウェアで、2015 年 8 月に X-Force 研究所により発見されました。
X-Force が Shifu のコードを解析した結果、このマルウェアは、Shiz、Gozi、Zeus、Dridex など、悪名高いトロイの木馬型金融系マルウェアからメカニズムや構成を借用した部分があることが明らかになりました。そのため、ばら蒔かれた瞬間から悪性度の高い機能を持っていました。このマルウェアが発見された当初は、主に日本国内の銀行が Shifu の標的でしたが、ほどなく英国の銀行も標的となりました。
独自のコード体系と高度なデータ窃取機能から、Shifu が経験を積んだマルウェア開発者により作成されたことは X-Force の研究者の目には明らかでした。このことは設定ファイルが企業アカウントや資産管理のアカウントを標的としていることからも裏付けられており、Shifu を操作する攻撃者は消費者を標的とする攻撃者に比べて、非常に多額の資金を盗み出し現金化していることを示しています。これもまた、潤沢なリソースに支えられた犯罪組織の特徴です。

日本と英国への攻撃

X-Force の監視によると、Shifu の活動は 2016 年の出現後の数カ月間は極めて活発で、Angler Exploit Kit を用いて拡散していたことが分かっています。犯罪組織に ウェブ・インジェクション機能を供給していたアンダーグラウンド・ベンダーと手を組み、Shifu は断続的に日本と英国への攻撃活動を展開し始めました。該当地域に仲間がいたのは明らかです。

2017 年初めの機能強化

2016 年末にかけて Shifu の開発者はコードの変更を行い、日本国外の感染端末に対応するように機能を追加しました。2017 年 1 月までには、このマルウェア初の大型の改変が行われ、Shifu に多くの変更作業が実施されていることが裏付けられました。
本格的な変更には、権限昇格のためこれまでとは別のWindowsメカニズムを悪用したこと、ボットネットの通信に Namecoin や .BIT ドメインを用いるようにしたことなどが挙げられます。この巧妙な手口は、検閲や法の取締りを回避する方法として Necurs ボットネットにより使用されていることが確認されています。
この選択はサイバー犯罪という場における Shifu の仲間のつながりを理解するヒントになり、また、Shifu が Shiz に酷似しているという考えを裏付けます。Shiz は2014 年に消滅したものの、Shifu のアイデアの元となり、そのコード開発に利用されたであろうトロイの木馬型金融系マルウェアです。X-Force 研究所によると、Shiz はロシアの金融機関を標的とし、その開発者はウクライナに拠点を構えていたと考えられます。この点もまた、Shifu の起源を暗示しているといえるでしょう。

消えた攻撃

Shifu は、日本と英国の2 つの地域を重点的に標的として着実に進化を遂げた後、突然、姿を消し始めました。
2016 年 6 月のShifu への技術的変更以降は、このマルウェアの活動が月毎に沈静化していっていることは X-Force 研究所にとって驚きでした。
過去 12 カ月の X-Force のデータを見ると、Shifu の攻撃キャンペーンは非常に小さく、感染活動が下落傾向にあることがわかります。これは、犯罪組織が感染攻撃キャンペーンを完全に停止したことを示しています。


図 1: クリーンな端末への Shifu の感染攻撃の推移 – 出典 IBM X-Force

感染攻撃の下落傾向にとどまらず、感染した端末においても、その所有者の銀行口座に対する不正アクセスの試みが停止しています。この傾向は2016 年 8 月に始まり、2017 年 4 月以降はその下降線はほとんど底をついています。

図 2:  Shifu に感染した端末からの不正アクセス数の推移 – 出典 IBM X-Force

Shifu の攻撃が日本と英国という限定された範囲に集中していたため、 Shifu は、X-Force の調査の中で、トロイの木馬型金融系マルウェアとして世界のトップ 10には決して登場することはありませんでした。それでもなお、Rovnix、Neverquest、Gozi、Zeus、URLZone と並んで、2016 年 8 月の日本で上位を占めるマルウェアの 1 つでした。

Shifuの終焉?

Shifu がこのように次第に姿を消しつつあるのはなぜでしょうか? Shifu は消滅したといってもいいのでしょうか? このような問いは憶測を呼ぶだけでしょう。
Shifu のサイバー犯罪組織は、日本に拠点を置くか、あるいは日本国内の犯罪組織とつながりを持つことで活動していたと考えられます。Shifu のコードおよび構成の一部と、サイバー犯罪の活動領域における明らかな類似点により、その起源が東ヨーロッパにあることが示唆され、恐らくウクライナであると考えられます。コードの開発グループと、運用面で手を組んだグループが、経験と能力の上で差があった可能性があります。その結果、非常に巧妙なマルウェアであるにも関わらず、Shifu はその存続期間において限定的な影響を発揮するにとどまりました。
また、Shifu を操作する攻撃者が目立たないようにすることを選択した可能性があります。それにより、犯罪の成功率と Shifu から得られる利益が制限されました。これは犯罪組織のリソースを減少させ、最終的に店じまいに至ったとも考えられます。さらに、犯罪組織の首謀者の間の内部抗争の可能性や、Shifu を操作する犯罪者への取締りによる可能性もあります。
Shifu は再び活動するのでしょうか? 個人的にはそう考えています。Shifu のコードに他のマルウェアの一部が組み込まれていたように、Shifu のコードが、他の犯罪組織に相当の金額で販売されたり、異なるサイバー犯罪組織が手を組んだ結果使用されたりします。Shifu は恐らく Shiz の生まれ変わりです。同様に、Shifu もまた他の地域を攻撃するために設定ファイルを新たにし、修正されて再配置されると考えられます。これでサイバー犯罪の輪が完成します。
X-Force 研究所は、Shifu のさらなる開発を警戒しています。引き続きこのセキュリティー・インテリジェンスのブログにご注目ください。Shifu の X-Force Exchange コレクションでも、Shifu が再び活性化した場合は、Indicator of Compromise (IoC – 痕跡情報) 等の情報が更新されます。

(出典:Security Intelligence より訳出 “Where Are They Today? Cybercrime Trojans That No One Misses: Shifu Malware” By Limor Kessem 2017年8月8日)

More セキュリティー・インテリジェンス stories
2019-10-31

SIEMとは何か?脅威の検出を強化する仕組みとは?

SIEM (セキュリティー情報/イベント管理:Security Information and Event M […]

さらに読む

2019-09-27

【オンデマンドWebセミナー】マルチクラウド時代におけるサイバーセキュリティーの考慮点

オンデマンドWebセミナーのご案内 マルチクラウド時代におけるサイバーセキュリティーの考慮点 今日、多くの企業 […]

さらに読む