銀行狙うトロイの木馬は盗りやすい所から盗る、日本語の壁が無くなると……

　2月中旬、日本の大手銀行のみをターゲットにしたトロイの木馬「Zeus」の亜種が見つかったことを、株式会社シマンテックが発表した。そのシマンテックが先週、こうした金融機関を狙うマルウェアについて報道関係者向けの説明会を開催。2005年以降に見つかった日本の銀行を狙う歴代のトロイの木馬を解説し、その機能が当初の調査段階から実用化段階に近づいているとともに、さらに高度化する可能性もあることを示唆した。

株式会社シマンテックの林薫氏（セキュリティレスポンス主任研究員）

　シマンテックの林薫氏（セキュリティレスポンス主任研究員）によると、日本の銀行を狙った過去の攻撃としては、2005年7月の「Infostealer.Jginko」、2011年5月の「Trojan.Spyeye」がある。

　Infostealer.Jginkoは、日本のオンラインバンキングを狙った初めてのトロイの木馬だという。20以上の金融機関がターゲットになり、ユーザーIDとパスワードを盗む機能があった。林氏によると、当時はおそらく第2暗証番号がまだ普及していなかったのではないかとし、ユーザーIDとパスワードを盗むだけで不正操作などが「けっこうできたのではないか」としている。

　次のTrojan.Spyeye（SpyEye）はオンラインバンキングを狙うトロイの木馬としては世界的にメジャーなファミリーだが、2011年5月に日本をターゲットにした亜種が見つかった。検体は少なくとも2件見つかっており、それらに含まれていた4つの設定ファイルの解析結果を林氏は説明した。

　このうち3つはトロイの木馬の通信先となるC&Cサーバーなどを記述したものだったが、もう1つのファイルには、感染PCが指定したURLにアクセスした際にスクリーンショットを撮影し続けるように画面サイズや回数、秒数などの設定が記述されていたという。しかしこれだけでは不正送金操作などに必要なパスワードなどの情報は入手できないため、日本のオンラインバンキングの画面遷移を調査している段階だったのではないかという。

　この亜種ではまた、「任意の二つ質問に対して、『合言葉』で確認させていただきます」とのメッセージとともに、「答え1」「答え2」「第2暗証番号」を入力させる画面をウェブインジェクションにより表示する機能も確認された。見るからに怪しさを感じさせる画面だったというが、やはりこの機能だけでは被害はあまり出ないのではないかと指摘。これも攻撃者側が日本のオンラインバンキングを調査していた段階のトロイの木馬ではないかとした。

2011年5月に見つかった「Trojan.Spyeye」の設定ファイル

同じく2011年5月に見つかった「Trojan.Spyeye」のウェブインジェクション内容

　そして今年2月に見つかった「Trojan.Zbot（Zeus）」の亜種では、ターゲットとなる銀行のサイトに感染PCがアクセスするのを検知してHTMLコードを挿入。偽の日本語の警告メッセージを表示し、アカウント情報を入力するよう促すとともに、キーロガー機能でパスワードなどのログイン情報を記録する機能があったという。ターゲットとなっていたのは大手5行で、1行につきそれぞれ7～8件のURLが指定されていた。

　表示される警告メッセージは、「もっと良いサービスを提供するため、当行の個人ネット銀行機能のアップデートをさせて頂いていますので、この間ネット銀行機能を使ったら、新規登録する時ご入力した情報をもう一度入力をいただき、アップデートを完了させて頂くようお願い申し上げます」というものだった。

　また、「暗証カード裏面に印字されている暗証カード発行日を記入してください」として、オンラインバンキングでは通常は聞くことがないはずの暗証カード発行日の入力を促すようにもなっていたという。

　なお、この亜種のインストールには、Javaの脆弱性を突くBlackhole Exploit Kitが使われていたとしている。

今年2月に見つかった「Trojan.Zbot」のウェブインジェクション内容

トロイの木馬は、1人当たりの資産が多い国を狙う傾向に？

　林氏によると、オンラインバンキングをターゲットとするトロイの木馬が登場したのは2002～2003年ごろ。当初は主にブラジルやアルゼンチンなど南米がターゲットだったが、現在ではグローバルに展開するものや特定の国を狙うものなど多数存在。SpyEye、Zeusのほか、「Cridex」「Tatanarg」「Shylock」「Bebloh」「Carberp」といったファミリーがあり、このうち、Shylockは英国、Beblohはドイツ、Carberpはロシアに分布しているという。

　特にメジャーなトロイの木馬ファミリーは多くの攻撃者グループによって使われているため、ターゲットとする組織の数も多くなり、例えばSpyEyeでは409、Zeusでは300の組織がターゲットになっているとしている。

主要なトロイの木馬ファミリーがターゲットとしている組織の数

　林氏は、トロイの木馬の攻撃に好まれるターゲットとして、富裕層の多い先進国を挙げ、1人当たりの資産が多い国が狙われやすい傾向にあると説明する。国連大学世界開発経済研究所（UNU-WIDER）がとりまとめた2000年時点のEU各国の統計データの数字を提示し、現在最もよく使われているトロイの木馬ファミリーの上位8種のうち6種でターゲットになっている英国は、1人当たりの資産が12万8959ドルに上るとしている。

　以下、8種中5種でターゲットにされているのがドイツ（1人当たりの資産は8万9871ドル）、オーストリア（同6万6639ドル）、オランダ（同12万86ドル）の3カ国、4種がイタリア（同11万9704ドル）、フランス（同9万3729ドル）、スペイン（9万2253ドル）の3カ国、3種がアイルランド（同8万9327ドル）となっている。

　なお、シマンテックの説明会では言及しなかったが、同じUNU-WIDERの統計データによると、日本の1人当たりの資産は12万4858ドルとなっており、この数字だけ見れば英国やオランダ並みだ。また、シマンテックでは日本をターゲットにしているトロイの木馬ファミリーについてはカウントしていないものの、少なくとも8種のうちSpyEyeとZeusの2種は確認されていることになる。

　林氏はこのほか、オンラインバンキングの作りは銀行ごとに異なるため、その国の銀行の数が少なければ攻撃者が必要とする亜種も少なくて済むという側面もあるとした。

　もちろん、オンラインバンキングのセキュリティ面も重要な要素となる。林氏によると、例えばベルギーは1人当たりの資産が8万5818ドルと比較的多い割には同国をターゲットにしているトロイの木馬ファミリーは8種中0種となっており、セキュリティが強固なためとみられるという。林氏は「やはり攻撃者は盗りやすい所から盗る。狙いやすい所を狙う」とした。

主要なトロイの木馬ファミリーのターゲット国の上位とその国の資産

日本の“言語の壁”が低くなれば、より高度なMITB攻撃の可能性も

　“言語の壁”も、トロイの木馬からの狙いわれやすさに影響する。1人当たりの資産が比較的多かったにもかかわらず日本がこれまで狙われにくかったのは、この言語の壁があったためだという。

　トロイの木馬でオンラインバンキングに攻撃を仕掛けるには、ユーザーIDとパスワードを機械的に盗むだけでは不十分であり、攻撃者はその銀行のオンラインバンキングのシステムや取引画面の遷移などを把握した上で、暗証番号などの入力を促すメッセージを表示するウェブインジェクションを作成するなど、ターゲットとなる国の言語を理解する必要がある。これまでは、こうしたことを理解するための日本語の壁が高かったという。

　この日本語の壁が、例えば機械翻訳の品質の改善やSNSなどを通じたネットワークなどのさまざまな要因で全体的に低くなってきている模様だ。実際、2011年5月に見つかったTrojan.Spyeyeの事例に比べると、今年2月のTrojan.Zbotの事例では偽メッセージの日本語は進化してきているとともに、取引画面や画面遷移の理解も進んできているように見える。

　また、こうした偽のメッセージなどを表示するウェブインジェクションの部分だけを開発・取引する例もあるとしており、一度作成された日本語のウェブインジェクションが別の攻撃者に再利用されたり、それをベースにアップデートされる可能性も高まっている。さらに日本語の壁が低くなることにより、今後、日本の銀行を狙うトロイの木馬でより高度なMITB（Man-in-the-Browser）攻撃につながっていく可能性もある。

　なお、海外ではセキュリティレベルの低い小さな銀行が狙われる傾向にあるというが、今年2月のTrojan.Zbotの亜種では日本の大手銀行5行がターゲットだった。林氏によると、日本では多くの銀行がほぼ同じセキュリティレベルであまり差がないため、攻撃者はユーザーが多い（感染PCのユーザーが使っている確率が高い）大手銀行をターゲットにしたのではないかとしている。