「2018年サイバー犯罪者のショッピングリスト」と「マルウェアの脅威水準の急激な上昇」

Size: px

Start display at page:

Download "「2018年サイバー犯罪者のショッピングリスト」と「マルウェアの脅威水準の急激な上昇」"

たけなりたけすえ
5 years ago
Views:

1 THREAT REPORT Quarterly AFCC NEWS Vol.13 フィッシングという言葉が 1996 年に出現して以来手口は進化し続けており被害総額と被害者数は上昇の一途です RSA は 23 年よりオンライン犯罪対策サービス RSA FraudAction を提供しており( 国内提供は 26 年から ) トロイの木馬の存在を検知しフィッシングサイトを閉鎖します FraudAction の中核である AFCC(Anti-Fraud Command Center: 不正対策指令センター ) では 2 名以上のフロードアナリストが 24 時間 365 日体制で数カ国語を駆使しマルウェア解析犯罪手口の解明に従事しています Quarterly AFCC NEWS は AFCC が定期的に公開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報統計情報をまとめたものです (217 年第 4 四半期版 : 218 年 2 月 2 日発行 ) 今号のトピック年盗難クレジットカード情報が多く流通した上位 2 ヵ国の平均単価 217 年で盗難クレジットカード情報が多く流通した上位 2 ヵ国とその平均単価を紹介します 2. マルウェアの脅威水準の急激な上昇 217 年は実に多くの大きな変化が起きました何と言ってもずっと右肩上がりだった年間フィッシング攻撃件数が初めて前年割れとなりましたこれはとても喜ばしいことのはずなのですが現実はそこまで単純ではありません 217 年に確認されたマルウェア亜種の数が 216 年の 1 倍だったと知ればこの事実は世界のセキュリティが改善した結果ではなく攻撃手法のトレンドの変化によるものだと考えざるを得ないからですその一方で日本においてはこうした海外の傾向とは一線を画し夏以降フィッシング攻撃も高い水準で続いています 1

1. 217 年盗難クレジットカード情報が多く流通した上位 2 ヵ国の平均単価 RSA が 1 月に発表した 218 年サイバー犯罪者のショッピングリスト ( 盗まれた個人情報の闇市場価格 ) ではクレジットカードサイトから盗まれた個人情報の相場価格は 3 ドルから 5 ドルでしたクレジットカード犯罪は闇市場でいまだに健在です

2 年盗難クレジットカード情報が多く流通した上位 2 ヵ国の平均単価 RSA が 1 月に発表した 218 年サイバー犯罪者のショッピングリスト ( 盗まれた個人情報の闇市場価格 ) ではクレジットカードサイトから盗まれた個人情報の相場価格は 3 ドルから 5 ドルでしたクレジットカード犯罪は闇市場でいまだに健在です闇市場で行われているのはクレジットカード情報の取引だけではありません犯罪初心者向けのカーディング ( クレジットカードを用いた不正行為 ) 個別指導やカード情報の窃取転売現金化マネーロンダリングフィッシングキット開発など不正の一部を担う活動の場があります下に示す地図は 217 年に最も多く盗難クレジットカード情報が売買された上位 2 ヵ国を示しカード情報 1 件あたりの相場価格を国別に示していますカナダ $9.19 ドイツ $11.38 フランス $11.1 ノルウェイ $1.27 英国 $11.91 スウェーデン $1.9 台湾 $11.96 米国 $9.19 アイルランド $1.7 デンマーク $11.88 韓国 $12.91 メキシコ $1.63 ブラジル $1.11 イタリア $11.82 スペイン $1.73 インド $8.69 ニュージーランド $13.9 南アフリカ $12.8 トルコ $1.62 豪州 $1.79 図 -2: 217 年盗難クレジットカード情報が多く流通した上位 2 ヵ国の平均単価 217 年最も多くカード情報が売買された上位 2 ヵ国についてカード情報 1 件あたりの相場価格を国別に示している 2

2. 217 年第 4 四半期の統計情報銀行利用者を狙うトロイの木馬の認知件数 ( 四半期推移 ) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は 3 四半期連続で大幅増を遂げた前四半期比で 6% 増 217 年第 1 四半期との比較では実に 7 倍にあたる第 2 四半期第 3 四半期は連続して前期の 6.

3 年第 4 四半期の統計情報銀行利用者を狙うトロイの木馬の認知件数 ( 四半期推移 ) RSA が認知した銀行利用者を狙ったトロイの木馬の亜種別認知件数の推移は 3 四半期連続で大幅増を遂げた前四半期比で 6% 増 217 年第 1 四半期との比較では実に 7 倍にあたる第 2 四半期第 3 四半期は連続して前期の 6.7 倍で増加その勢いに陰りはあるものの第 4 四半期は前期比 1.6 倍の増加である 12, 1, 8, 6, 1,316 4, 6,386 2, Q1 217-Q2 217-Q 亜種は概ね攻撃者ごとあるいは攻撃のたびに新たに作成されるため攻撃の活性度を反映するトロイの木馬を使った攻撃に用いられた通信ノード (URL) の認知件数の推移 ( 四半期推移 ) こちらはトロイの木馬の感染更新窃取した情報の送信などの目的で用いられた URL の認知件数トロイの木馬の認知件数と同様の傾向で第 1 四半期の 6 倍に増加している 14, 12, 1, 8, 6, 11,964 4, 8,18 2, , Q1 217-Q2 217-Q 通常亜種 1 種に複数の URL が関連づけられているので亜種の件数を URL の件数が大幅に上回る 3

認知されたトロイの木馬亜種の分類 217 年第 4 四半期世界を対象とした攻撃への関与が確認されたトロイの木馬について RSA AFCC が認知したものを原種別に分類した結果である今年に入って

位以下はいずれも 1% とわずかなシェアを占めるに留まっている Mobile Malware 1% Ramnit 1% Bugat 8% RAT 1.

初めて米国から首位を奪ったロシアがさらに 42 ポイント増えて 7% を占めた米国は 13 ポイント減少 3 位に入った初顔のルクセンブルグも含め以下のいずれの国も 5% に満たない比率に留まった

4 認知されたトロイの木馬亜種の分類 217 年第 4 四半期世界を対象とした攻撃への関与が確認されたトロイの木馬について RSA AFCC が認知したものを原種別に分類した結果である今年に入ってこれまで一度もランキングに入ったことのないところから突如圧倒的な 1 位となった Trickbot が 6 ポイント比率を下げたものの 3 四半期連続のトップを占めた 2 位の Bugat こそ 8% を占めたが 3 位以下はいずれも 1% とわずかなシェアを占めるに留まっている Mobile Malware 1% Ramnit 1% Bugat 8% RAT 1.% Pony Stealer 1% その他 1% Trickbot 87% マルウェア攻撃のホスト国別分布 ( 月次 ) こちらのチャートも 2 四半期連続で前四半期の変化が加速していることを示している前回調査開始以降初めて米国から首位を奪ったロシアがさらに 42 ポイント増えて 7% を占めた米国は 13 ポイント減少 3 位に入った初顔のルクセンブルグも含め以下のいずれの国も 5% に満たない比率に留まったこのグラフからわかることは驚異的な勢いで増えている攻撃の 7 割をメキシコ 1% ポーランド 2% ドイツ 2% リトアニア 3% フランス 1% その他 1% ロシアからの攻撃が占めているということであるルクセンブルグ 4% 米国 7% いずれもホストした ISP やロシア 7% フィッシングドメインを管理していた登録事業者の所在地別分類 4

フィッシング攻撃数 ( 四半期推移 ) 例年第 3 四半期を下回ることがない第 4 四半期のフィッシング攻撃件数だが 217 年は 123,929 件と前四半期を下回ったこの結果 217 年の年間累計攻撃件数は 546,749 件に留まり 28 年の調査開始以降初めて通年のフィッシング攻撃件数が前年割れ ( 前年比 56% 減 ) となった 215

6% の微増で時計の針が約 2 年巻き戻ったという印象である 217 年は脅威の主流が一気にマルウェアに傾いた年であったが 218 年がどうなるのか大いに注目している 6, 5, 4, 3, 2, 516,72 1, 142,812 125,6 126,797 13,946 144,694 24,52 284,367 21,82 186,438

5 フィッシング攻撃数 ( 四半期推移 ) 例年第 3 四半期を下回ることがない第 4 四半期のフィッシング攻撃件数だが 217 年は 123,929 件と前四半期を下回ったこの結果 217 年の年間累計攻撃件数は 546,749 件に留まり 28 年の調査開始以降初めて通年のフィッシング攻撃件数が前年割れ ( 前年比 56% 減 ) となった 215 年と比べても 3.6% の微増で時計の針が約 2 年巻き戻ったという印象である 217 年は脅威の主流が一気にマルウェアに傾いた年であったが 218 年がどうなるのか大いに注目している 6, 5, 4, 3, 2, 516,72 1, 142, ,6 126,797 13, ,694 24,52 284,367 21,82 186,438 11, ,72 123, Q Q Q Q Q Q Q Q Q フィッシング攻撃を受けた回数 ( 国別シェア ) 217 年第 4 四半期最も多く攻撃を受けたのは 3 四半期連続でカナダだった比率もほぼ横ばいの 56% を占めた 2 位の米国も横ばいの 1% だった単純に考えればカナダのブランドを騙った攻撃が増えた一方で米国のブランドを騙った攻撃がかなりの規模で減少していると考えられるカナダ 56% その他 5% ドイツ 1% メキシコ 2% ペルー 3% スペイン 3% 米国 1% ブラジル 4% オランダ 4% コロンビア 5% インド 7% 5

フィッシング攻撃のホスト国別分布 ( 月次 ) 217 年第 4 四半期米国のリソースを使った攻撃その他 21% の件数は全体の半数ほどで引き続き最高位を占めブラジル 2% た 2 位以下に豪州ウク日本 2% ライナ日本といった珍し英国 2% い顔ぶれが並んだことが目を惹く香港 2% ウクライナ 3% 米国 51% カナダ 3% 豪州 4% ドイツ 4% ロシア 6%

3 16 年 12 月 17 年 1 月 17 年 2 月 17 年 3 月 17 年 4 月 17 年 5 月 17 年 6 月 17 年 7 月 17 年 8 月 17 年 9 月 17 年 1 月 17 年 11 月 17 年 12 月フィッシング対策協議会によると国内で報告されたフィッシング攻撃件数も年間で 1 万件に迫る勢いだった世界では

6 フィッシング攻撃のホスト国別分布 ( 月次 ) 217 年第 4 四半期米国のリソースを使った攻撃その他 21% の件数は全体の半数ほどで引き続き最高位を占めブラジル 2% た 2 位以下に豪州ウク日本 2% ライナ日本といった珍し英国 2% い顔ぶれが並んだことが目を惹く香港 2% ウクライナ 3% 米国 51% カナダ 3% 豪州 4% ドイツ 4% ロシア 6% いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類日本でホストされたフィッシングサイト ( 月次推移 ) 日本でホストされたフィッシングサイト数は第 4 四半期に入って再び増加したこの結果通年で 1,12 件と初めて大台を突破した年 12 月 17 年 1 月 17 年 2 月 17 年 3 月 17 年 4 月 17 年 5 月 17 年 6 月 17 年 7 月 17 年 8 月 17 年 9 月 17 年 1 月 17 年 11 月 17 年 12 月フィッシング対策協議会によると国内で報告されたフィッシング攻撃件数も年間で 1 万件に迫る勢いだった世界ではマルウェア攻撃が増えフィッシングは減っているが (RSA の調査と合わせても ) 日本は世界とは一線を画した動きを見せたといえるだろう個別の攻撃は引き続き金融機関や Apple Amazon LINE Microsoft を騙ったものが大半を占めたが仮想通貨取引所の bitflyer を騙る攻撃への注意喚起が出たのが目を惹いたこの報告は AFCC が把握している攻撃の数です本ニュースレターに関するお問い合せ先 EMC ジャパン株式会社 RSA 事業本部マーケティング部嶋宮知子 Tel : (3) ( 直通 ) tomoko.shimamiya@rsa.com 6

7 サイバー犯罪グロッサリー APT 攻撃 APT は Advanced Persistent Threat の略新旧様々な脆弱性を突くマルウェアやソーシャルエンジニアリングなどあらゆる攻撃手法を駆使して政府機関や公共機関に対して長期にわたって執拗に行われる攻撃全般の総称である Blackshades CAPTCHA トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool) 型のマルウェア Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化された公開チューリングテスト機械的に判定しにくいように文字をゆがめて表示した画像を用いて人とコンピュータを区別する方法またそれに使われる画像 C&C サーバ Citadel Command and Control Server ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ流出した Zeus のソースコードから生まれたトロイの木馬のコード名開発者集団が CRM を積極的に活用しているのが大きな特徴 Zeus の備えていた機能に加え次々と新しい顧客志向の機能をリリースしており 212 年前半現在大流行している CITM Chat-in-the-Middle の略通常のフィッシング攻撃でニセサイトに誘導しサポート担当者を装ったチャットにより秘密の質問とその答えなどの高機密情報を詐取する攻撃方法 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム最も格式が高かったが主要メンバーが相次いで逮捕されたことから 28 年 9 月閉鎖実態は FBI によるおとり捜査用のフォーラムだった fast-flux ボットネットの型のコード名転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる不正サイトの特定閉鎖を困難にするため複数のドメイン上のサーバを自動的に使い回す点が大きな特徴 MITB Man-in-the-Browser の略感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知セッションをハイジャックしてミュール ( 本ページ下段参照 ) の口座に預金を振り込むオンライン詐欺手法ブラウザーの設定ファイルを変更して不正なコードを実行させることからこの名がついた Nonpolite マルウェアのコード名 PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが 28 年 7 月開発チームが業績不振を理由に廃業宣言した RBN Rock Phish SilentBanker Russian Business Network 悪名高いロシアのサイバー犯罪者組織世界最大規模のオンライン犯罪者集団のコード名 27 年 12 月に発見されたトロイの木馬のコード名世界各国の 4 以上の銀行に対するトランザクションを検知しセッションハイジャックすることで信用情報を詐取する二要素認証や SSL にも対応している Sinowal トロイの木馬のコード名自動的にサイレントインストールされ勝手にネットワークに接続し機密を外部に転送する 26 年に最初に確認されており Torpig の別名を持つ SpyEye トロイの木馬のコード名 21 年急拡大し Zeus に次ぐ地位を占めるに至った SpyEye の作者が Zeus の作者からコードを譲り受け両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり物理的なインフラを攻撃する目的で開発された初のマルウェア USB メモリ経由で感染し重要インフラに関わるシステムを麻痺させようとする ZeuEsta Host Zeus を感染させたり Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホスティングサービス Zeus トロイの木馬のコード名発生は 1996 年と古いが 28 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めているオンラインバンクやクレジットカードに関する秘密を検索し盗出するカーディングミュール不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為商品は通常売却して現金化する盗品の受領転送や詐取した現金の振り込み転送を担う運び屋のような役割ただし詐欺師がまっとうな仕事を装った採用情報にだまされて知らぬ間に犯罪の片棒を担がされている人を指すランサムウェア他人の PC に感染してそのローカルデータを勝手に暗号化したり PC が起動しないように MBR( マスターブートレコード ) に不正な書き換えを加えるなど一方的にユーザーがデータにアクセスできないようにした上で身代金を要求するマルウェアリシッピングカーディングによって手に入れた商品を他国へ転送した上で換金する不正行為盗んだクレジットカード情報を現金化する手段の一つ最近はサービスとしても提供されている 7

2015年のフィッシング、7年連続で記録更新～サイバー犯罪市場の活性化がカギ～

2015年のフィッシング、7年連続で記録更新～サイバー犯罪市場の活性化がカギ～ 2015 年のフィッシング 7 年連続で記録更新 ~ サイバー犯罪市場の活性化がカギ ~ Quarterly AFCC NEWS:2016 年第 1 四半期版フィッシングという言葉が 1996 年に出現して以来その手口は進化し続けており被害総額と被害者数は上昇の一途です RSA が提供するフィッシングサイト閉鎖サービス RSA FraudAction はフィッシングサイトを検知すると監視を開始し