ニュース
オンライン銀行詐欺ツール「Citadel」日本で被害増加、国内で2万台以上の感染
(2013/7/24 13:56)
トレンドマイクロは23日、日本のオンラインバンキング利用者を狙った攻撃が増加しており、国内で2万台以上の感染が確認されたとして、公式ブログで注意を呼び掛けた。
トレンドマイクロでは、脅威調査機関「Forward-looking Threat Research(FTR)」での調査の中で、日本での被害が96%以上を占めるオンライン銀行詐欺ツールによる攻撃を確認。攻撃は、オンライン銀行のウェブページ上で偽のポップアップ画面を表示し、情報を詐取する手口が中心的で、2012年にもこうした手口が確認されていたが、継続して日本を狙う攻撃が拡大傾向にあるとしている。
攻撃で利用されたオンライン詐欺ツールは「Citadel」ファミリーと呼ばれるもので、これらのツールが詐取情報をやりとりする遠隔操作用の司令サーバー(C&Cサーバー)についてアクセス状況を監視したところ、96%以上が日本からのアクセスであることが確認されたという。
C&Cサーバーへアクセスするオンライン銀行詐欺ツール検体と、その設定ファイルの解析から、情報詐取対象の6つの金融機関はすべて日本国内のものであり、アクセス元の情報と併せて、日本のみを狙った攻撃であることは明らかだと分析。また、金融機関以外にも、Gmail、Yahoo!メール、Windows live(Hotmail)など、有名ウェブメールも情報詐取対象となっているという。
トレンドマイクロが攻撃を確認した16日以降21日までの間に、日本からC&CサーバーへアクセスしたユニークなIPアドレスは2万件を越えており、多くのPCがCitadelに感染していると推測している。アクセス数は若干の減少傾向にはあるが、21日でも高い数値を示しており、今回のオンライン銀行詐欺ツールによる被害はまだ継続している状況だとして、各銀行から出ている注意喚起の内容をよく読み、ログイン以外の目的での認証情報入力に注意してほしいとしている。
また、今回の攻撃に関連するオンライン銀行詐欺ツールに関しては、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能の1つである「ファイルレピュテーション」技術により、「TSPY_ZBOT」などの名称で検出に対応しており、C&Cサーバーなど関連の不正サイトもはすべてアクセスブロックの対応を行っているとして、これらの製品や機能を有効にして対策を強化することを推奨している。