「金融監督庁」かたるポップアップで偽の銀行サイトに誘導、能動型の不正プログラムが国内で拡散

「KRBANKER」に設定されている4つの検索エンジンにユーザーがアクセスすると、「金融監督庁」をかたるポップアップが表示される

　「金融監督庁」をかたるポップアップウィンドウを表示して銀行の偽サイトへ誘導する不正プログラム「KRBANKER」が日本国内で拡散しているとして、トレンドマイクロ株式会社が注意を呼び掛けている。トレンドマイクロでは7月末にこれを初めて確認し、8月17日までに国内の300台以上のPCから検出されているという。KRBANKERはもともと韓国の金融機関を標的にしていたものだが、日本にも攻撃対象を拡大してきたとみている。

　KRBANKERは、感染したPCでローカルプロキシサーバーとして動作し、正規サイトへのアクセスを偽サイトへとリダイレクトさせる機能を持つ。トレンドマイクロが解析したところ、8つの国内銀行のドメイン名が設定されており、ユーザーがそれらの銀行の正規サイトへアクセスしようとすると、偽サイトへとリダイレクトし、偽のログインページでIDやパスワードなどの認証情報を入力させて窃取する。

　また、4つの検索エンジンのドメインも設定されており、ユーザーがそれらの検索エンジンにアクセスした場合は「金融監督庁」をかたるポッポアップを表示。そこには「金融犯罪を予防するためにダイレクトのセキュリティの強化を行っています」などという説明とともに、8つの銀行の名称が表示されており、利用している銀行名をクリックしてセキュリティ強化するよう促す。リンク先は同様に、各銀行の偽のログインページだ。

　「従来のオンライン銀行詐欺ツールは、利用者が標的となるオンライン銀行にアクセスするのを待つ、いわば受動型であったのに対し、KRBANKERは、それに加え、検索エンジンのページ上にポップアップを表示し、利用者に標的となるオンライン銀行へのアクセスを促す、いわば能動型のオンライン銀行詐欺ツールであるとも言える。」（トレンドマイクロ）

　なお、「金融監督庁」は現在では存在しない省庁名のため、KRBANKERの背後にいるサイバー犯罪者の確認が甘かった可能性があるが、「利用者の錯誤を利用するという観点からはそれほど大きなミスではないのかもしない」と、トレンドマイクロでは指摘している。

　また、偽のログインページを表示した際にブラウザーのアドレスバーを注視すれば、正規サイトのログインページであれば「HTTPS」プロトコルであるのに対し、偽サイトは「HTTP」プロトコルを使用していることが分かるという。これは、偽サイトへの誘導によるSSLサーバー証明書の検証エラーを発生させないようにするためだというが、「ブラウザーのアドレスバーに表示されているドメイン名は正規のものであるため、利用者は異変に気付かずに認証情報を入力してしまう危険性がある」としている。

偽のログインページを表示した際、ブラウザーのアドレスバーには銀行サイトの正規のドメイン名が表示されるが、「https:」ではなく「http:」になっている点が正規のログインページと異なる

　トレンドマイクロによれば、オンライン銀行詐欺ツールなどの不正プログラムはメール経由かウェブ経由でPCに侵入するのが一般的。今回のKRBANKERでは、改ざんされた国内のウェブサイト経由での拡散が中心だったとしている。また、昨今のウェブ経由の攻撃では、正規サイトから不正サイトへ誘導するといった手口が主流のため、「不審なサイトへはアクセスしない」といった“心掛け”だけの旧来の対策では防げないと説明。対策としては、メール／ウェブの2つの経路での侵入を検知する機能を持ったセキュリティソフトの利用を推奨している。