ニュース

偽ポップアップ画面はまだ序の口、オートメーション化する不正送金ウイルス

 昨年秋、国内の複数のインターネットバンキングなどをターゲットとして発生したフィッシング攻撃が新たな手口だとして話題になった。ユーザーのPCに感染させたウイルス(トロイの木馬)によって、顧客が正規サイトにログインしたタイミングを検知し、偽の認証画面をポップアップ表示することで第2暗証番号や秘密の合い言葉などを入力させようとするものだ。使われたのは、インターネットバンキングを攻撃するための代表的なツールキット/トロイの木馬である「Zeus」を、日本の金融機関向けにカスタマイズしたものとみられている。

 これまでの国内におけるフィッシングの主な手口は、ユーザーを偽サイトに誘導し、そこでアカウントの認証情報を入力させるものだった。Zeusのようなトロイの木馬が使われたということで、日本におけるフィッシング攻撃も高度化してきているわけだ。今年2月に入ってからも、日本の大手銀行5行を狙い打ちするZeusの新たな亜種が見つかったことも報告されている。

 しかし、トロイの木馬を侵入させるタイプの攻撃においては、日本で発生した偽のポップアップ画面を表示させるような段階はまだ序の口らしい。これよりも1段階進んだ「MITB(Man-in-the-Browser)」という手法が欧米で2009年ごろから増加して問題になっているほか、2012年にはさらにオートメーション化を徹底した攻撃まで観測されたことを、米McAfeeらによる「Operation High Roller」と題した分析レポートで報告している。「High Roller」とは「高額預金者」「大金を使う人」の意味で、法人を含めて大金を蓄えている銀行口座が狙われたことにちなんで命名された。

 Operation High Rollerについては、マカフィー株式会社が12月に行った報道関係者向け説明会でも言及。同社サイバー戦略室兼グローバル・ガバメント・リレイションズ室長の本橋裕次氏と、米McAfeeのテクニカル・ソリューションズディレクターであるブルース・スネル氏が、巧妙化するサイバー金融詐欺の手口の1つとして紹介した。

本橋裕次氏(右)とブルース・スネル氏(左)

サイバー金融詐欺の技術的進化とOperation High Roller攻撃の流れ

 本橋氏によると、サイバー金融詐欺の手口は技術的に進化しており、インターネットバンキングの顧客のPCにマルウェアを感染させるタイプでもいくつかの進化の段階がある。

 まず最初が、顧客が入力したパスワードなどの情報を、キーロガーによって窃取する手口。その次の段階として、HTMLコードやJavaScriptをブラウザーのウィンドウに注入し、認証画面などを書き替えるウェブインジェクションの手法がある。偽の入力フォーム欄を追加するなどしてアカウント認証情報を窃取するのが目的であり、日本で確認された偽の認証画面をポップアップ表示する手口がこれに当たる。

 いずれもアカウント情報を盗み取った後は、詐欺グループが別のPCでそのアカウントの預金口座にログインして、手動で不正送金操作を行うことになる。送金先としては、詐欺グループがあらかじめ用意している口座(「ミュール口座」と呼ばれる)が用いられる。

 一方、欧米で2009年ごろから増加しているMITBでは、感染PCからインターネットバンキングサイトへのアクセスを検知した後、セッションをハイジャックして決済処理情報を書き替えることでミュール口座への送金処理を行う。攻撃者が積極的に介入することなく不正送金がスタートする点で進化しているわけだ。

 さらにMcAfeeでは、不正送金処理を感染したPCから行っていた通常のMITB(クライアントサイド自動不正送金)に対して、同じMITBでも送金処理をサーバー側で徹底して自動化した「Automated Transaction Server」(サーバーサイド自動不正送金)と呼ぶ手法が出現していることを報告。その事例が、Operation High Rollerだ。

サイバー金融詐欺の技術的進化

 Operation High RollerによるMITB攻撃の流れは以下の通りだ。

 まず最初に、インターネットバンキングサービスの顧客に対してフィッシングメールをばらまき、誘導先のサイトでトロイの木馬をダウンロードさせる。ここでは「Blackhole」ツールキットが用いられており、アクセスしてきたPCのブラウザーやPDF閲覧ソフトの種類やバージョンなどに応じて、どのような脆弱性があるのか調べた上でトロイの木馬に感染させる。そしてそのトロイの木馬が、Zeusや、同じく銀行を狙う代表的なトロイの木馬である「SpyEye」をダウンロードしてくる。

 PCへの侵入に成功したZeusやSpyEyeは、そのPCのユーザーがインターネットバンキングを利用する時まで潜伏。インターネットバンキングのサイトにアクセスしたのを検知すると、URLなどからどの銀行か判別し、その銀行のページに似せた偽の画面を表示して認証情報などを入力させる。

 自動不正送金処理にかかる時間は60秒程度。「処理中です。お待ちください」といった趣旨のメッセージを表示した裏で送金処理が行われる。送金処理が完了すると、残高画面は送金前の額を表示する偽のものを表示する。また、送金取引後には通常、銀行から顧客に送金完了通知メールが届くが、これも検索して削除してしまうという。このようにして、被害者が自身の口座から不正に送金されたことを気付きにくいようになっていた。

Operation High RollerによるMITB攻撃の流れ

検出を回避するさまざまなテクニック……詐欺師は金融システムに精通?

 Operation High Rollerは、2012年のはじめ、3カ月程度にわたり攻撃が展開されていたという。当初のターゲットはイタリアの銀行で、その後、ドイツやオランダなど欧州、そして中南米や米国でも確認された。McAfeeの調査によれば、少なくとも世界の60以上の銀行から最低でも60万ユーロが不正送金で盗まれたという。さらに、McAfeeが解析した攻撃ログがすべて成功したと仮定すると、被害額は推定20億ユーロに上るとしている。

 初期に欧州で確認された攻撃では、感染パターンはZeusやSpyEyeを使った他の攻撃とほとんど変わらなかったというが、Operation High Rollerでは処理を手動で行う代わりに自動化がなされており、米国などで確認された事例では攻撃の効率を上げるためにAutomated Transaction Serverの手法をとるようになった。McAfeeでは、サーバー側コンポーネントを利用し徹底した自動化を行っている詐欺グループを12件以上発見したという。

 Automated Transaction Serverでは、口座へのログインも含めて詐欺行為にかかわるタスクが“防弾ISP”(犯罪者に優しい利用規約のISPのこと)に設置した攻撃者のサーバーから行われる。このサーバーは検出を避けるために頻繁に移動され、クライアントに侵入したトロイの木馬だけでは実際の手口を突き止められないように巧妙に仕組まれていた。また、送金先のミュール口座は一般的に捜査から犯人の足が付きやすいポイントであるため、口座情報をデータベース化した上で個々の攻撃ごとにランダムに送金先口座を変更していたとしている。

 McAfeeでは、「人が介入する必要がないため、攻撃は迅速に進み、巧妙に拡散する」と説明。「金融機関の取引システムに対するインサイダーレベルの知識をベースに、カスタムメイドと既成の悪質なコードを組み合わせて攻撃を行うもので、“組織犯罪”という表現が適当だ」と指摘している。

 Operation High Rollerではこのほかにも、不正送金を検知されないようにするためのさまざまなテクニックを使っていた。イタリアの攻撃では、マルウェアが被害者の最高額を探し出して残高を確認した上で、例えば「今回は3%」というように一定のパーセンテージあるいは500ユーロ程度の比較的少額を不正送金する仕組みだったという。ほとんどの場合で1口座につき2回以上の送金はあえて避けており、口座の持ち主が不正送金で残額が減ったことを気付きにくくしていた。また、銀行の詐欺検出プロセスのしきい値を回避するよう慎重に運用されているとして、「詐欺師たちが金融業界について知識があるのは明らか」としている。

 その後のオランダでの攻撃では、高額取引が日常的に行われる法人口座がターゲットになり、高額の不正送金を目立たなくしている。法人口座狙いの攻撃では、正規ユーザーがインターネットバンキングサイトにアクセスした際に「システムメンテナンス中」「しばらくお待ちください」といったメッセージを長時間表示(12時間後あるいは2日後に再度試すよう表示)している裏で、怪しまれることなく送金処理を完了していたという。

法人を狙った攻撃でユーザーを長時間(この画面では6時間以上)待たせておき、その裏で不正送金処理を完了するパターン(McAfeeの報告書より)

 さらに米国に向けられた攻撃では、企業貯蓄から当座預金口座に自動振替した上で、当座預金口座に移された資金を国外のミュール口座に送信するにまで進化した。北米で被害に遭った口座はいずれも、残高が少なくとも数百万ドルあったとしている。

 なお、欧州の銀行ではICカードを差し込んだPCからしかアクセスできないようにする二要素認証を導入していたが、被害者の顧客が正規サイトだと思って正規のICカードで認証してしまうため意味が無かったという。Operation High Rollerは「二要素認証形式を回避することに成功した初のケースとなった」としている。

銀行ごとにカスタマイズした偽画面のHTMLコードも販売

 マカフィーの報道関係者向け説明会では、スネル氏が攻撃ツールを用いて、Zeusによるウェブインジェクションの手法も実際にデモしてみせた。スネル氏によると、Zeusは複雑な機能を持つ一方で、比較的分かりやすいリモートアクセスツールを提供する。感染したPCがツール上にリスト表示され、それに対してメッセージの配信やhostsファイルの変更、ウェブカメラの操作、ボットのインストールなどの遠隔操作がGUI上で行える。

 感染したPCには、Zeusの実行ファイルと設定ファイルという2つのファイルが作成される。設定ファイルには、ターゲットとするサイトや窃取した情報の送信先などが設定されているほか、Zeus自身が定期的にアップデートするためのチェック頻度や確認先などの設定も含まれている。

 Zeusでは、ターゲットとなるURLと、そのウェブページのどの部分をウェブインジェクションで書き替えるか指定できる。そのHTMLコードは一見シンプルに見えるが、実際に使うコードは複雑だという。スネル氏は、本来のサイトに対してZeusでウェブインジェクションを行う様子をデモ。正規サイトには存在しない認証項目の入力フィールドが追加され、例えば「プロフィールを更新する時期になったため、クレジットカード番号が正しいかどうか確認してほしい」といったメッセージを表示し、ユーザーが求められた情報を入力するよう仕向ける手口を紹介した。

 これらはZeusの基本機能であり、インジェクションするHTMLコードについては、特定の銀行向けにカスタマイズしたコードを販売しているサイトもあるという。こうしたコードを購入することで、攻撃者はさまざまな銀行に対応するトロイの木馬を用意できるわけだ。

本来のページ(左)と、ウェブインジェクションによって改ざんされたページ(右)

 本橋氏によれば、複雑なセキュリティシステムを導入している銀行の場合は、従来のZeusではうまく攻撃できないこともあったようだという。より効率的に攻撃すべく、偽ポップアップ画面の表示まではクライアントサイドで行うが、不正送金の指示などの機能をサーバーサイドに移したのがAutomated Transaction Serverだと説明した。

 なお、Automated Transaction Serverでは、被害者のPCからだけでなく、攻撃者のサーバーからもインターネットバンキングサイトへのアクセスが発生するため、銀行のシステム側で判別されてしまいそうなものだ。この点についてマカフィーでは、他の国からのアクセスであれば確かに不審なアクセスと判定されるかもしれないが、米国で発生したOperation High Roller攻撃では同じ米国内に攻撃者のサーバーが設定されていたとしている。

(永沢 茂)