クレジットカードや金融機関の情報を窃取する「Ursnif」の感染が拡大

　クレジットカードや金融機関の関連情報を窃取する不正プログラム「Ursnif」による通信が3月より急拡大していることを検知したとして、株式会社ラックが運営するセキュリティ監視センター「JSOC」や一般財団法人日本サイバー犯罪対策センター（JC3）が注意を促している。

　4月、5月には、Ursnifに感染したと考えられる通信が「マルウェア感染インシデント」の2割を超えたとのこと。Ursnifは「Gozi」「Snifula」「Papras」などの別名でも呼ばれている。

Ursnifに関連するインシデント件数（ラックのプレスリリースより転載）

　Ursnifは、キー入力操作情報を収集して送信し、クレジットカードや金融機関関連情報を窃取するなどの機能がある不正プログラム。感染した状態でインターネットバンキングなどを利用すると、ID・パスワードなどの情報が窃取されてしまう。また、偽のクレジットカード入力画面を表示する機能もあり、クレジットカード情報も窃取される。

トレンドマイクロ公式ブログより転載

　トレンドマイクロ株式会社の調査では、Ursnifの感染が6月に入って急増しており、地方銀行などの中小金融機関を中心に40行弱の国内ネットバンキングを狙うことを確認しているという。

日本国内での「TSPY_URSNIF」の検出台数推移（トレンドマイクロ公式ブログより転載）

　感染経路は、トレンドマイクロによればメールに添付されたZIPファイルが中心で、5月末以降、6月13日までに3万件以上のメールが検出されているという。ZIPファイルには、不正プログラムとしてスクリプトファイル（.js）または実行ファイル（.exe、.scrなど）が含まれるという。

　実行ファイルのファイル名の一部は、文字列を右から左に読む形式にするUnicode制御記号（Right-to-Left Override）を入れることで、例えばには、「FILENAMEcod.exe」を「FILENAMEexe.doc」という形で表示させ、文書ファイルと誤解させるケースも見られたという。

「年休申請」を偽装したメールは6月1日から7日前後までの間に約2000通もの拡散が確認されたという

「請負契約書」「年次運用報告書」「算定届出書」「状況一覧表」や、ネット通販からの「支払確認」など件名や本文のマルウェアスパムが確認されたとのこと

　一方、JSOCでは、改ざんされたウェブサイトや不正な広告を閲覧するだけで、エクスプロイトキットと呼ばれる攻撃コードを設置されたウェブサイトに転送されて感染した例も確認しているとのこと。また、トレンドマイクロでは、5月24日から6月10日までに改ざんされた国内中小企業や学校などの法人サイト160件から、1万5000アクセス以上が攻撃コードを設置されたウェブサイトに誘導されていることを確認しているという。

　メールとウェブによる感染の拡散がそれぞれ数万以上の規模で確認されることはあまりないことから、トレンドマイクロでは、Ursinfを拡散しているサイバー犯罪者は、国内での大規模拡散を狙っている上、地方銀行や、比較的小規模の金融機関が共同で利用する共同化システムなどを攻撃対象としていることから、オンライン銀行詐欺ツールへの対策が進みにくい中小規模の金融機関の方が攻撃が成功しやすいことを意識していると推測している。

　なお、マイクロソフトが15日に公開した更新プログラムに含まれる「悪意のあるソフトウェアの削除ツール」には、Ursnifに対する定義ファイルが追加されている。

　JSOCやJC3では、WindowsやOffice、そのほかサードパーティのアプリケーションについて、修正プログラムの適用や、ウイルス対策ソフトやパーソナルファイアウォールの導入を行うとともに、不審なメールの添付ファイルへの注意を促している。