あなたも狙われている！？インターネットバンキングの不正送金とマルウエアの脅威

Size: px

Start display at page:

Download "あなたも狙われている！？インターネットバンキングの不正送金とマルウエアの脅威"

さみりゅうとう
5 years ago
Views:

Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, email=office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : 2014.

1 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, =office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : :23:43 +09'00' あなたも狙われている!? インターネットバンキングの不正送金とマルウエアの脅威 2013年12月9日 JPCERT/CC 竹田春樹 SecurityDay 2013

2 Agenda 状況の把握不正送金の事例について脅威の確認不正送金に関わるマルウエア状況の打開対策対応について 2

3 - JPCERT/CC をご存知ですか? - JPCERT/CC とは一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサートコーディネーションセンター日本国内のインターネット利用者やセキュリティ管理担当者ソフトウエア製品開発者等 ( 主に情報セキュリティ担当者 ) がサービス対象コンピュータセキュリティインシデントへの対応国内外にセンサをおいたインターネット定点観測ソフトウエアや情報システム制御システム機器等の脆弱性への対応などを通じセキュリティ向上を推進インシデント対応をはじめとする国際連携が必要なオペレーションや情報連携に関する我が国の窓口となるCSIRT( 窓口 CSIRT) CSIRT: Computer Security Incident Response Team 各国に同様の窓口となるCSIRTが存在する ( 米国のUS-CERT CERT/CC 中国のCNCERT, 韓国のKrCERT/CC 等) 経済産業省からの委託事業として情報セキュリティ対策推進事業 ( 不正アクセス行為等対策業務 ) を実施 3

4 - JPCERT/CC をご存知ですか? - JPCERT/CC の活動インシデント予防インシデントの予測と捕捉発生したインシデントへの対応脆弱性情報ハンドリング未公開の脆弱性関連情報を製品開発者へ提供し対応依頼関係機関と連携し国際的に情報公開日を調整セキュアなコーディング手法の普及制御システムに関する脆弱性関連情報の適切な流通情報収集分析発信定点観測 (ISDAS/TSUBAME) ネットワークトラフィック情報の収集分析セキュリティ上の脅威情報の収集分析必要とする組織への提供全センサーのポートスキャン合計ポートスキャンの上位 5 位を表示ポートスキャンの平均値 = ( 単位 : 時間 ) センサー合計 (ICM Pは常に表示 othe rはその他合計 ) ICM P TCP 135 TCP 445 UDP 137 TCP 139 TCP 1025 oth er インシデントハンドリング ( インシデント対応調整支援 ) マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化攻撃手法の分析支援による被害可能性の確認拡散抑止再発防止に向けた関係各関の情報交換及び情報共有 /9 1 2 / / / / /1 4 Da ta 早期警戒情報重要インフラ重要情報インフラ事業者等の特定組織向け情報発信 CSIRT 構築支援海外の National-CSIRT や企業内のセキュリティ対応組織の構築運用支援アーティファクト分析マルウエア ( 不正プログラム ) 等の攻撃手法の分析解析国際連携各種業務を円滑に行うための海外関係機関との連携 4

JPCERT/CC 事業の沿革 2005 年 2003 年 2004 年 2009 年 APCERT *2 フォーラム発足, 事務局担当インターネット定点観測システム (ISDAS) 公開脆弱性情報ハンドリング開始早期警戒情報提供開始 FIRST 運営委員会理事参加 2006 年アーティファクト分析の独立チーム化 ( 分析センター ) 総務省

2010 年コンピュータ緊急対応センター (JPCERT/CC) 発足 FIRST *1 に日本初のメンバー加盟ステルス型の標的型攻撃の脅威に関する調査検討アーティファクト分析に関する国内外の連携支援強化 Stuxnet による制御システムへの攻撃の公表日中韓情報セキュリティ対応覚書調印制御システム評価ツール SSAT 提供開始 2011

5 JPCERT/CC 事業の沿革 2005 年 2003 年 2004 年 2009 年 APCERT *2 フォーラム発足, 事務局担当インターネット定点観測システム (ISDAS) 公開脆弱性情報ハンドリング開始早期警戒情報提供開始 FIRST 運営委員会理事参加 2006 年アーティファクト分析の独立チーム化 ( 分析センター ) 総務省経産省合同ボット対策事業 ( サイバークリーンセンター :2010 年度まで ) 2007 年 CSIRT 構築支援 NCA *3 発足 2008 年 TSUBAME 海外展開制御システムセキュリティタスクフォース IT セキュリティ予防接種実証実験 Secure Coding セミナフィッシング対策協議会事務局 1998 年 1996 年 2010 年コンピュータ緊急対応センター (JPCERT/CC) 発足 FIRST *1 に日本初のメンバー加盟ステルス型の標的型攻撃の脅威に関する調査検討アーティファクト分析に関する国内外の連携支援強化 Stuxnet による制御システムへの攻撃の公表日中韓情報セキュリティ対応覚書調印制御システム評価ツール SSAT 提供開始 2011 年 ICSR の設置サイバー攻撃解析協議会用解析環境構築 APT インシデント対応体制準備 2012 年 FIRST : Forum of Incident Response and Security Teams) APCERT:Asia Pacific Computer Emergency Response Team NCA : 日本シーサート協議会 5

6 不正送金の事例について 6

7 - 不正送金の事例について - 国内における動向参考資料 : 1 参考資料 : 2 参考資料 : 3 7

8 - 不正送金の事例について - 不正送金の被害金額 (2013 年 ) 2013 年 7 月 2013 年 8 月 4 億 1600 万円 2013 年 10 月 7 億 6000 万円 2013 年 4 月 9600 万円 2013 年 6 月 2 億 200 万円 3 億 6000 万円年度被害件数被害総額件 3 億 800 万円件 4800 万円件 (*1) 7 億 6000 万円 (*1) 2013 年 10 月 19 日の発表時点警察庁が発表している不正送金の被害額は 2012 年の被害総額を 2013 年 4 月の時点で超えています 8

9 不正送金に関わるマルウエア 9

10 - 不正送金に関わるマルウエアマルウエアに関する動向時期マルウエアに関わる動向 2007 年 ZeuS のオリジナルの存在が確認される (7 月 ) 2009 年 2010 年 2011 年広範囲の被害を確認 (3 月 ) 74,000 を超える FTP アカウントが Prevx によって確認される (6 月 ) ZeuS と類似の機能を持った SpyEye の存在が確認されるアメリカの 15 行の銀行が攻撃対象となっていることを Trusteer が確認 (7 月 ) FBI によると $70 million が盗まれたとされている McAfee によると ZeuS の作者が ZeuS のソースコードを対抗する SpyEye の作者に販売したとされている ZeuS のソースコードがリークされる (3 月 ) ZeuS の亜種とされる Ice IX が確認される (4 月 ) ZeuS の亜種とされる Citadel が確認される 2013 年 KINS(PowerZeuS) など新たなマルウエアが確認される参考情報から抜粋 10

11 - 不正送金に関わるマルウエアマルウエアの特徴不正送金に関わるマルウエアの特徴的な機能として以下の機能があることを確認しています情報窃取機能 Web の認証情報や FTP などのアカウント情報を収集する機能 Web インジェクション機能 Web コンテンツを攻撃者が意図する内容に書き換える機能これらの機能を悪用しインターネットバンキングに関連する情報も含む感染端末の様々な情報の窃取を試みます 11

12 - 不正送金に関わるマルウエア攻撃者のネットワーク Infected!! マルウエア作成環境ユーザ Internet サイト管理者サイト管理者不正侵入攻撃者 Proxy Server として悪用組織企業のインフラ不正ファイルの設置攻撃者のインフラ 12

13 - 不正送金に関わるマルウエアマルウエアによって窃取される情報 Web のアカウント情報メールアカウント情報 FTP アカウント情報窃取対象は不正送金に関わる情報だけではありません 13

14 対策対応について 14

15 対策対応について技術面での対策基本的なセキュリティ対策を徹底する OS やソフトウエアの最新状態にする不要なソフトウエアは削除するなどウイルス対策ソフトウエアの導入する運用面での対策不正送金に早期に気付くための対応をユーザ自身で行う [ 例 ] 預金確認方法を二つ用意する定期的に預金金額を確認する 15

16 対策対応について (JPCERT/CC の取り組み ) 他の事案と同様インターネットバンキングに関わるマルウエアの通信先等に関してもコーディネーションの対応を進めていますまた日本国内の Web サーバに Citadel に関連する不正ファイルが設置された事案についてもコーディネーションの対応を行った実績もあります参考資料 : 11 16

17 対策対応について基本的なセキュリティ対策発見サービス使用者による対策サービス事業者による対策 17

18 まとめ 2013 年に入り不正送金の被害が急増しています様々な取り組みにより対策対応を進められていますが攻撃者の攻撃手法も変化しており根本的な対策対応が難しい状況が続いていますサービスを提供する側だけではなくサービスを使用するユーザ側による対応対策が必要となってきています普段の生活で気をつけていることをインターネットの世界でも実践し自身の情報資産を守っていきましょう 18

19 参考資料 1. ネットバンキングの不正送金事件偽ポップアップによる巧妙な手口 2. ネットバンキング不正送金が激増ウイルス感染に注意 3. ネットバンキング被害額過去最悪を更新 4. Zeus (Trojan horse) 5. Citadel Makes a Comeback, Targets Japan Users 6. Public-private partnerships essential to fighting cybercriminals 7. Current state of online banking Trojans 8. New Trojan Ice IX Written Over Zeus Runs 9. SpyEye によるサイバー犯罪の手口とは 0SpyEye%20Operation 10. Microsoft, financial services and others join forces to combat massive cybercrime ring インシデント報告対応レポート [2013 年 7 月 1 日 ~2013 年 9 月 30 日 ](2013 年 10 月 10 日公開 ) 19

お問い合わせインシデント対応のご依頼は Email:office@jpcert.or.jp Tel:03-3518-4600 Web: https://www.jpcert.or.jp/ インシデント報告 Email:info@jpcert.

20 お問い合わせインシデント対応のご依頼は Tel: Web: インシデント報告 Web: ご清聴ありがとうございました 20

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター理事分析センター長真鍋敬士

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター理事分析センター長真鍋敬士 JPCERT/CC とは一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination