「ありきたりな景色に潜む、ロシアと中国のソーシャルメディアにおけるサイバー犯罪」と「最新フィッシング攻撃テクニックの紹介」

Transcription

1 THREAT REPORT Quarterly AFCC NEWS Vol.97 フィッシングという言葉が 1996 年に出現して以来 手口は進化し続けており 被害総額と被害者数は上昇の一途です RSA が提供するフィッシングサイト閉鎖サービス RSA FraudAction は フィッシングサイトを検知すると監視を開始し ホスティング事業者と協力してフィッシングサイトを閉鎖します FraudAction の中核である AFCC (Anti-Fraud Command Center: 不正対策指令センター ) では 200 名以上のフロード アナリストが 24 時間 365 日体制で数カ国語を駆使し 対策に従事しています Quarterly AFCC NEWS は AFCC のインテリジェンスレポートからフィッシングやオンライン犯罪情報 統計情報をまとめたものです (2016 年 9 月 20 日発行 ) 今号のトピック 1. ありきたりな景色に潜む ロシアと中国のソーシャルメディアにおけるサイバー犯罪ロシアや中国でも SNS を使ったオープンなサイバー犯罪活動がごく当たり前になっている 2. 最新フィッシング攻撃テクニックの紹介 電子財布サービスを悪用した現金化手法を伝授するチュートリアル URL 短縮サービス事業者の自動統計表示機能を フィッシングサイト発見に活用 3. 今号の統計 2016 年第 2 四半期のフィッシング攻撃件数は 四半期で昨年一年の攻撃件数に匹敵する 516,702 件に達した 急増の影響もあってか ブランドを騙られた国の中で米国の占める比率は低下した 対照的に トロイの木馬を使った攻撃に関する値は ピーク時から大幅に減少した状態で推移している 最も多く用いられているトロイの木馬は相変わらず Zeus だが 寡占状態に翳りも見られる 今号の特集 ありきたりの景色に潜む ロシアと中国のソーシャルメディアにおけるサイバー犯罪 今年 4 月 RSA は 半年以上の期間をかけて制作した世界のサイバー犯罪者によるソーシャルメディア活用状況に関する特別白書の第 2 弾を発表した この白書は ソーシャルメディアにおける犯罪活動が 量的には指数的に増加し 目に見えるものになっていること そして その大半が あたかも ありきたりの景色 " に思えることを明らかにした サイバー犯罪活動に参加しているユニークユーザーは 500 を超えるグループに 23 万人以上存在 その ほぼ半数がロシアと中国の SNS を使っている 異なるグループが投稿 ( 売りに出して ) いるクレジットカードの枚数は 1 万 5 千枚以上 カードがらみの犯罪行為が最も多い (53% 以上 ) これまで闇市場の奥深くでしか取り引きされてこなかった犯罪サービス ( マルウェア ハッキングツール DDoS やスパム送信用のボット ) がオープンな SNS で公然と紹介されている 異なる犯罪者コミュニティの連携活動ぶりが窺わせる 個々のコミュニティの構造やコミュニティ内外における連携の様子も検証できる 1

2 図 -1: ロシアのソーシャルメディアで確認されたグループによる最も目に付く犯罪活動の分布 図 -2: 中国のソーシャルメディアで確認されたグループによる最も目に付く犯罪活動の分布 この記事の全文は RSA Security Blog ( をご参照ください 2

3 最新フィッシング攻撃テクニックの紹介 大規模電子財布サービスを悪用した大規模な現金化手法を伝授するチュートリアル RSA Fraud Action チームは近ごろある地下フォーラムで 窃取したクレジットカード情報の現金化スキームに関する 非常に複雑な犯罪チュートリアルの大作を発見した ジャングルマネー と称するこのチュートリアルが勧める基本的 な手口は e-wallet( 電子財布 ) サービスを悪用する まず 個人 用のアカウントでネットワークを作り それをオンライン小売店向 けサービスを使って法人用アカウントに転換する こうすれば 個 人用アカウントではできない法人用アカウントに資金を集約でき るという 現金化の最後の段階で チュートリアルは e-wallet アカウントの法人アカウント利用者が利用できるいくつものオプションを提示している 以下はその例である ビットコインなどの暗号通貨を購入する セキュリティ要件が緩く送金しやすいグレー度の高い外貨を オンラインオークションサイトで購入する 換金が容易なギフトカードを購入する デビットカードとの連携機能を提供している国内大手証券会社の口座に送金し ATM からデビットカードを使って引き出すこのチュートリアルは 通常は極めて困難な異なる口座間の紐付けを確実かつ こっそりと行いたい犯罪者のための手口を 35 ページにもわたって詳細に記述した大作となっている 中には 資金ジャグリングの方法についても記載されている 具体的には (1) 数多くのシェルアカウント * を仮想クレジットカード (VCC) 経由で作成したり シェル機能の使える e-wallet アカウントを複数作成 (2) それらの口座間であたかも購入された何らかのサービスや商品に対する支払いを装って資金移動やそのキャッシュバックを繰り返し (3) 最終的に全額を全額迅速に現金化してしまう というものである このチュートリアルは e-wallet 口座との RDP 接続を装うことができるオンライン商用クラウドサービスの利用も推奨している 他にも クラウドサービスは トランザクションの追跡を困難にする 使用した IP アドレスを即座にリリースするという 融通の利く IP サービスを提供してくれるとも指摘している さらには 大手クラウドストレージサービス事業者が実施している無料試用期間サービスに 違う名前で毎月新たに申し込めば ほとんど無期限に無料でクラウドサービスを利用することもできる とまで書いてある さらには 多くのサイバー犯罪ツールやサービスには 口座チェック 通貨交換 偽装 ID 作成 ( パスポートなどを含む ) の他 隠蔽や発見回避に役立つ機能が含まれているとも 指摘している URL 短縮サービス事業者の自動統計表示機能を フィッシングサイト発見に活用 フィッシング攻撃の際に標的を転送するために URL 短縮を使うのは 新しい話でもなんでもない RSA AFCC アナリストは かなりの件数の短縮 URL を毎月見ている 人の目で識別できないランダムな URL にする URL の短縮は 元の URL を匿名化することで ブラックリストを使って悪性サイトをフィルターするセキュリティ機 3

4 能を回避してしまう URL 短縮サービス名 統計ページへのアクセス法 bit.ly URL の末尾に '+' を付け加えるしかし 短縮 URL は元の URL を匿名化 goo.gl URL の末尾に 'info' を付け加えるしてしまうが 有用なフォレンジック情報は TinyURL URL の末尾に '~' を付け加える提供される RSA の調べによると たいて Tr.im URL の末尾に '+' を付け加えるいの URL 短縮サービスは 自社で変換された URL を入力すると その利用状況 ( 回図 -3: URL 短縮サービス業者が提供する情報へのアクセス法数や日数 ) を表示する自動統計表示機能を提供している 特定の短縮 URL に対する統計情報は URL の末尾に簡単なキーフレーズ ( スイッチ ) を追加するだけでアクセスできる 表 -3 は よく知られた URL 短縮サービスが提供する統計ページにアクセスするためのスイッチの一覧である 図 -4: Bitly を使って短縮されたある URL に関する統計ページ 図 -5: Redirect.NL を使って短縮されたある URL に関する統計ページ 4

5 今号の統計レポート 銀行利用者を狙うトロイの木馬の認知件数 ( 四半期推移 ) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は以下の通り 前四半期比でほぼ半減となった第 3 四半期から減少傾向が続き 1 年前の 11% にまで減少した 3,000 2,500 2,000 1,500 2,583 1, , Q Q Q Q Q2 亜種は概ね攻撃者ごとあるいは攻撃のたびに新たに作成されるため 攻撃の活性度を反映する トロイの木馬を使った攻撃に用いられた通信ノード (URL) の認知件数の推移 ( 四半期推移 ) トロイの木馬の感染 更新 窃取した情報の送信などの目的で用いられた URL の認知件数も トロイの木馬 の認知件数同様 一年前の 10.6% に減少した 8,000 7,000 6,000 5,000 4,000 7,775 3,000 2,000 1, ,221 1,009 1, Q Q Q Q Q2 通常 亜種 1 種に複数の URL が関連づけられているので 亜種の件数を URL の件数が大幅に上回る 5

6 認知されたトロイの木馬亜種の分類 2016 年第 2 四半期 世界を対象とした攻撃への関与が確認されたトロイの木馬について RSA AFCC が認知したものを原種別に分類した結果 Zeus の比率が一年前の 52% から 18 ポイント比率を下げ 長く続く独占的な地位に翳りが見え始めている 続く Citadel もピークから 12 ポイント 一年前から 5 ポイント減少している 上位の減少によって起きているのが新顔の躍進である 半年前にわずか 2 ポイントでランク入りした Vawtrak が 16% を占めて 3 位に入った 4 位の ISR Stealer も前回から 8 ポイント増えている Spyeye 2% Gozi 1% Bugat v4 4% obile Malware 5% Pony Stealer 1% その他 1% Ransomware 5% Zeus 34% ISR Stealer 12% Vawtrak 16% Citadel 18% フィッシング攻撃数 ( 四半期推移 ) 2016 年第 2 四半期 AFCC が認知したフィッシング攻撃件数は トロイの木馬を使った攻撃とは好対照で 516,702 件と圧倒的な最高記録となった どれほど圧倒的かというと 従来の記録を 6 割上回った前四半期の 2 倍を上回り 単一四半期で昨年の通年記録の約 98% にあたるものだった 600, , , , , , ,520 99, , , , , , , , , , , Q Q Q Q Q Q Q Q Q Q Q Q1 516, Q2 6

7 フィッシング攻撃を受けた回数 ( 国別シェア ) 2016 年第 2 四半期も 最も多く攻撃を受けたのは米国のブランドの利用者でほぼ半数を占めた それでも そ の比率は 前回の 71% から 23 ポイント減にあたる その分は 2 位以降 特に 5 位以降の下位に分散する形と なった 5 位のオラン ダが前回の 1% から7 ポイント増 6 位のス 米国 48% ペインが 2% から 5 ポ イント増と 3 位に 入ったインド 英国に 匹敵する水準を占めた 1% 以上を占めた国も 3 ヵ国増え 10 ヵ国に達した その他 2% イタリア 1% コロンビア 1% カナダ 10% 中国 1% スペイン 7% 南アフリカ 2% インド 9% オランダ 8% 英国 9% フィッシング攻撃のホスト国別分布 ( 月次 ) 2016 年第 2 四半期も 世界の攻撃の 60% は米国内でホスティングされていた 2 位のオランダでも 4% どまりと 米国集中ぶりが顕著になっている 3 位に英国 4 位ドイツ 5 位ロシアと続く 米国 60% その他 17% オランダ 4% カナダ 2% シンガポール 2% フランス 2% マレーシア 3% ロシア 3% 英国 3% ドイツ 3% いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類である 7

8 日本でホストされたフィッシングサイト ( 月次推移 ) 2016 年第 2 四半期 日本でホストされたフィッシングサイト数はのべ 9 件だった 第 1 四半期の 71 件から大幅に減少した 前年同期の 35 件と比べてもかなり少ないが 年初からの累計数はほぼ同水準にあたる 昨年は 7 月からの 6 ヶ月で 210 件が確認されており 注意が必要である 月 7 月 8 月 9 月 10 月 11 月 12 月 1 月 2 月 3 月 4 月 5 月 6 月 フィッシング対策協議会の発表によると 第 2 四半期の間に報告されたフィッシングの件数は 2,094 件で 第 1 四半期の 6,332 件から大幅減となった しかし 4 月以降 ゆうちょ銀行 三井住友銀行 りそな銀行 ジャパンネット銀行 福岡銀行 Apple ハンゲーム V プリカ (Visa プリペイドカード ) OMC Plus ガンホーゲームズと大変多くのブランドに関するフィッシングの注意喚起が出されている この第 2 四半期には 上述のフィッシング攻撃の他にも JTB や J-WAVE で不正アクセスによる大量の個人情報の漏えい事案が報じられたほか 佐賀県で未成年による学内サーバや教育システムに対する不正アクセス事案も耳目を集めた JTB の場合は 同社自身のマルウェア感染によって 793 万人分の個人情報が漏えいした他 NTT ドコモの d トラベルや DeNA トラベルなど パートナー企業にも影響を及ぼした この報告は AFCC が把握している攻撃の数です AFCC が毎月発表する RSA Monthly Online Fraud Report が Web に掲載されています ニュースレターに関するお問い合せ先 EMC ジャパン株式会社 RSA 事業本部マーケティング部嶋宮知子 Tel : (03) ( 直通 ) tomoko.shimamiya@rsa.com 本 8

9 サイバー犯罪グロッサリー APT 攻撃 APT は Advanced Persistent Threat の略 新旧様々な脆弱性を突くマルウェアやソーシャル エンジニアリングなど あらゆる攻撃手法 を駆使して 政府機関や公共機関に対して 長期にわたって執拗に行われる攻撃全般の総称である Blackshades CAPTCHA トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool) 型のマルウェア Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト 機械的に判定しにくいように文字をゆがめて表示した画像を用いて 人とコンピュータを区別する方法 ま たそれに使われる画像 C&C サーバ Citadel Command and Control Server ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ 流出した Zeus のソースコードから生まれたトロイの木馬のコード名 開発者集団が CRM を積極的に活用しているのが大きな特徴 Zeus の備えていた機能に加え 次々と新しい顧客志向の機能をリリースしており 2012 年前半現在大流行している CITM Chat-in-the-Middle の略 通常のフィッシング攻撃でニセサイトに誘導し サポート担当者を装ったチャットにより 秘密の質問とその答え などの高機密情報を詐取する攻撃方法 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム 最も格式が高かったが 主要メンバーが相次いで逮捕されたことから 2008 年 9 月閉鎖 実態は FBI によるおとり捜査用のフォーラムだった fast-flux ボットネットの型のコード名 転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる 不正サイトの特定 閉鎖を困難にす るため 複数のドメイン上のサーバを自動的に使い回す点が大きな特徴 MITB Man-in-the-Browser の略 感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知 セッションをハイ ジャックして ミュール ( 本ページ下段参照 ) の口座に預金を振り込むオンライン詐欺手法 ブラウザの設定ファイルを変更して不正なコー ドを実行させることから この名がついた Neosploit マルウェアのコード名 PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが 2008 年 7 月開発チームが業績不振を理由に廃業宣言した RBN Rock Phish SilentBanker Russian Business Network 悪名高いロシアのサイバー犯罪者組織 世界最大規模のオンライン犯罪者集団のコード名 2007 年 12 月に発見されたトロイの木馬のコード名 世界各国の 400 以上の銀行に対するトランザクションを検知し セッション ハイ ジャックすることで信用情報を詐取する 二要素認証や SSL にも対応している Sinowal トロイの木馬のコード名 自動的にサイレントインストールされ 勝手にネットワークに接続し機密を外部に転送する 2006 年に最初に確 認されており Torpig の別名を持つ SpyEye トロイの木馬のコード名 2010 年急拡大し Zeus に次ぐ地位を占めるに至った SpyEye の作者が Zeus の作者からコードを譲り受け 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり 物理的なインフラを攻撃する目的で開発された初のマルウェア USB メモリ経由 で感染し 重要インフラに関わるシステムを麻痺させようとする ZeuEsta Host Zeus を感染させたり Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス Zeus トロイの木馬のコード名 発生は 1996 年と古いが 2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる オンラインバンクやクレジットカードに関する秘密を検索し 盗出する カーディング ミュール 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為 商品は通常売却して現金化する 盗品の受領 転送や詐取した現金の振り込み 転送を担う運び屋のような役割 ただし 詐欺師がまっとうな仕事を装った採用情報にだ まされて 知らぬ間に犯罪の片棒を担がされている人を指す ランサムウェア他人の PC に感染して そのローカルデータを勝手に暗号化したり PC が起動しないように MBR( マスター ブート レコード ) に不正な書き 換えを加えるなど 一方的にユーザがデータにアクセスできないようにした上で 身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為 盗んだクレジットカード情報を現金化する手段の一つ 最近はサービスとしても提供されている 9