日本を標的とした新たなオンライン銀行詐欺ツール、設定変更で認証情報を盗み出す

　トレンドマイクロ株式会社は10日、日本を標的とする新たなオンライン銀行詐欺ツール「WERDLOD」の手口を解説し、ユーザーに注意を呼び掛けた。

　日本のオンライン銀行利用者を標的とした詐欺ツールとしては、これまでにも「ZBOT」「AIBATOOK」「VAWTRAK」といったツールが確認されてきたが、2014年12月に新たなツールとして「WERDLOD」が登場した。トレンドマイクロの統計によると、WERDLODは2015年1月～3月に日本国内で約400件の検出が確認されている。

　WERDLODは、感染時にプロキシー設定の変更と不正なルート証明書のインストールを行うことで、ネットバンキングで使用する認証情報を盗み取る。このため、感染後は不正プログラムの起動や常駐を必要としない点が特徴となっている。

　感染経路としては、大手通販サービスの請求書を偽装したメールにより、添付されたRTF形式のファイルを開かせようとする。これをダブルクリックしたユーザーが、WERDLODに感染する。

請求書を装ったメールの添付ファイルから感染

　感染すると、攻撃者が用意した不正な「proxy.pac」ファイルを参照するよう、レジストリが変更される。これにより、インターネット接続を行う際にこのファイルに記載されているプロキシー設定が適用されるようになる。設定ファイルは難読化されているが、解読すると転送対象として26のJPドメイン名が列挙されており、複数のネットバンキング関連ドメイン名が含まれている。このことからも、明確に日本を標的としていることが見て取れるとしている。

　さらに、WERDLODは不正なルート証明書をインストールする。単にプロキシーを経由させるだけでは、ネットバンキングのHTTPSサイトにアクセスした際にエラーが表示されるため、これを回避するために自前の証明書をPCやブラウザーの「信頼するルート証明書リスト」に追加する。通常の環境では、証明書を追加する際には警告ダイアログが表示されるが、WERDLODはこの警告ダイアログが描画された瞬間に「はい」ボタンを自動的に押し、ユーザーに気付かれないようにインストールを完了させる機能も持っているという。

警告ダイアログに自動で「はい」を押し、不正な証明書をインストールしてしまう

　こうして、WERDLODに感染している端末でユーザーがネットバンキングのサイトにアクセスすると、攻撃者が用意した不正なプロキシーサーバーを経由させられ、認証情報などが盗み取られてしまう。不正なルート証明書もインストールされているため、警告も表示されない。ただし、EV SSL証明書を利用している場合には、通常とは違いブラウザーのアドレスバーが緑色にならないため、これによってユーザーが異常に気付くきっかけにはなり得るとしている。

WERDLODの攻撃シナリオ

　トレンドマイクロでは、ユーザー側の防御策として、メールの添付ファイルを安易に実行しないことや、普段からアドレスバーが緑になるかどうかに気を配っておき、普段は緑色のサイトがそうなっていない時は異常を疑うといったことを挙げている。感染した場合には、不正プログラム本体を削除するだけでなく、プロキシーの自動構成（proxy.pac）の設定を削除するか感染前の状態に戻すとともに、不正なルート証明書をWindowsとFirefoxの「信頼済みルート証明書ストア」から削除する必要がある。

　また、過去に見られた類似の手口では、海外のネットバンキングにおいてSMSメッセージで送信されるワンタイムパスワードを盗む目的の偽モバイルアプリが確認されている。トレンドマイクロでは、日本のネットバンキングではSMSメッセージによる認証はあまり使用されていないが、今後はなんらかの偽モバイルアプリが確認されても不思議ではないとして、注意を呼び掛けている。