第3四半期の国内ランサムウェア検出台数は前期比4.1倍に、オンラインバンク詐欺ツール検出も4倍～トレンドマイクロ調査

　トレンドマイクロ株式会社が16日に発表した報告書によれば、2016年第3四半期の全世界におけるランサムウェア感染を狙ったマルウェアメールの検出数は前期比約4.5倍の約8530万件に達した。また、国内におけるランサムウェア検出台数も前期比約4.1倍となる3万4200件となった。

　国内ランサムウェア検出台数の3万4200件は同社観測では最大。ランサムウェアは、2012年に初めてロシアの裏市場での販売が確認され、最近では、ランサムウェアの購入者が得た身代金のうち何割かを提供者が受け取る契約形態である「RaaS（Ransomware as a Service）」型のビジネスモデルも確認されている。

　第3四半期には、ランサムウェア「STAMPADO（スタンパド）」が、ライセンス無期限有効で39米ドルのRaaS形式により販売されていることを確認した。ここまで低価格なのは珍しく、ランサムウェア入手の容易化が進んでいるという。

　さらに、裏市場で売買されている不正メール送信サービスを利用すれば、容易に大規模な攻撃が可能となるため、トレンドマイクロでは、攻撃者がこうしたサービスを利用してランサムウェアを配布していると推測している。

　メールによる感染するランサムウェアは「LOCKY」が61％を占めているが、エクスプロイトキットにより脆弱性を攻撃されたウェブサイトから拡散されるランサムウェアは、「CRYPTMIC」をはじめとする「CryptXXX」系のランサムウェアが9割以上を占めるという。このことからトレンドマイクロでは、メール経由とウェブサイト経由では、ランサムウェアによる攻撃を行うサイバー犯罪者が異なるとの見方を示している。

　オンラインバンク詐欺ツールについては、国内における検出台数が前期比で4倍となる3万9900台に達し、過去最大だった2014年4～6月期の2万4900台を上回った。中でも「BEBLOH」（別名：URLZONE）と「URSNIF」（別名：GOZI）の2種類が大量流通しており、国内の検出台数のの約93％を占めるとのこと。

　この2種は連携して活動し、まずメール経由でBEBLOHが侵入した後、単体で活動する場合と、URSNIFをダウンロードする場合があり、実質的には1種と見ることもできるとしているが、どのような観点で使い分けられているのかは、現状ではつかめていないとしている。

　また、これまでは特に韓国の金融機関を標的としていたオンラインバンク詐欺ツール「KRBANKER」による国内への攻撃が8月に初めて確認された。感染経路はウェブサイトからで、自身がローカルプロキシとして機能し、Googleなどの検索サイトへのアクセス時に「金融監督庁」をかたる偽サイトへのアクセスを促し、アカウント情報の詐取を狙うものとなっている。これまでのツールがオンラインバンキングサイトへのアクセス時のみに活動を行っていたことと比較し、より“積極的な手口”としている。

　ウェブサイトなど公開サーバーからの情報漏えい被害は、クレジットカードなどの決済情報を含む事例が7件あり、計26万件のクレジットカード情報を含む個人情報が流出した。また、メールマガジンなど会員情報が漏えいした事例も4件あった。これら11件のうち、侵入の原因が公表されている4件すべてが脆弱性によるものだった。

　9月に発覚した米Yahoo!の情報漏えいでは、2014年以降2年間で、5億件のユーザーアカウント情報が漏えいした。このほか、IoTプラットフォームの脆弱性を突いた攻撃への懸念や、米国でのPOSシステムを標的にしたマルウェア被害などにも触れられている。