銀行への集中攻撃を近く発動か、犯罪組織がパートナー募り特訓・連携の動き
EMCジャパン株式会社のRSA事業本部は30日、世界規模でオンライン犯罪対策業務を行っている「RSA Anti-Fraud Command Center(AFCC)」の調査に基づく月次レポートの最新版を発表した。米国の銀行を狙ったトロイの木馬による大規模攻撃が、近日中に展開される恐れがあることを報告している。
地下フォーラムへの投稿を調査していたRSA Fraud Actionリサーチチームが、あるサイバー犯罪組織が大規模攻撃の電撃作戦を企てていることをつかんだ。ターゲットは米国の銀行のみ30行。100人規模のボット管理者が連携するとみられ、トロイの木馬を使った銀行への組織的攻撃としては過去最大規模になると予測している。
この大規模攻撃の特徴の1つは、攻撃活動に必要な人手を地下ネットワークの住人から募集するパートナー制度を採っている点だ。すなわち、連携するボット管理者は組織の外部から採用された人々で、ブートキャンプ(新兵教育訓練)式の特訓が施されとともに、攻撃に必要な機材を購入するための資金を提供する出資者と契約が結ばれる。そうして窃取した金銭を、これらボット管理者や出資者、不正送金先口座の開設者などにも分配するモデルだ。RSAでは、秘密主義を貫く犯罪組織においてこうしたパートナー制度は前代未聞だと指摘する。
作戦に使用するであろうトロイの木馬も、RSAが調査によって特定した。以前から存在するほとんど無名のトロイの木馬「Gozi」に酷似したもので、RSAでは「Gozi Prinimalka」と命名している。Goziは、「SpyEye」や「Zeus」といった著名なトロイの木馬とは異なり、基幹部分が公開されていないプライベート型のトロイの木馬だという。Gozi Prinimalkaという名称は、この犯罪組織が長年にわたり、ドロップポイントを示唆するサーバーのURLすべてに「to receive」を意味するロシア語「Prinimalka」を使っていることに由来する。
Gozi Prinimalkaでは、感染したPCから銀行サイトへのアクセスが発生したのを検知すると、手動でセッションを乗っ取る中間者攻撃が行われる。その際、銀行側のオンライン詐欺検出フィルターをかいくぐるために最先端の手法を用いるという。
感染したPCのタイムゾーン、スクリーン解像度、ブラウザーの種類およびバージョン、Cookie、ソフトウェアのプロダクトIDなどの環境・設定を、仮想実行環境としてボット管理者の端末に再現。これを犯罪者が操作することで、被害者になりすまして不正送金などの操作を行う。複製環境から銀行サイトへの通信は、感染PCに作成したSOCKSプロキシを介して行うため、被害者の正規環境のIPアドレスを使うことができ、犯罪者のアクセス元も隠ぺいできるとしている。
EMCジャパン株式会社RSA事業本部プリンシパルマーケティングプログラムマネージャーの水村明博氏 |
米国の銀行だけを狙う理由について、この犯罪組織は反米意識によるものと公言しているというが、RSAでは、攻撃しやすいことが本当の理由だとみている。これまでに何度も攻撃していた経験があり、換金も容易であること、そして米国の銀行は「脇が甘い」というのだ。欧州の銀行では原則としてすべての消費者に対して二要素認証を求めており、特にSMSを活用したシステムが普及しているという。これに対して米国では、大手銀行では導入しているものの消費者にはまだ行き渡っていないとしている。
日本では先週、複数の金融機関をターゲットにした偽の入力ウィンドウを表示する攻撃が確認されている。現在、RSAでもこの攻撃について調査中で、トロイの木馬を使った手法と考えられるものの、Goziによるものではないようだという。EMCジャパン株式会社RSA事業本部の水村明博氏は、日本の銀行では秘密の質問や乱数表など、複数の認証がかかっていることが犯罪者にとって攻撃の障壁となっていると指摘。銀行の正規サイトにログインしたのをトリガーとして偽の入力ウィンドウをポップアップ表示させる手口により、こうした認証情報を取得しようとしているものとみられるという。
なお、米国の銀行への大規模攻撃を企てている犯罪組織は、2008年以降、米国の口座から500万ドルを吸い上げていたと主張しているらしいが、RSAなどが扱った案件から判断して、この主張はまんざらうそではないと言えるとしている。
この電撃作戦が発動される具体的な日程まではわかっていないが、RSAによると、そのパートナーの数は攻撃に十分な規模にすでに達した模様だ。仮に大規模攻撃が始まれば、1~2カ月間、ターゲットの銀行を狙った集中攻撃が予測されるが、それがどれだけ継続するかは、銀行がこの攻撃への対抗策をいかに素早く実施できるかにかかっているとしている。
関連情報
(永沢 茂)
2012/10/31 11:00
-ページの先頭へ-