
今日の犯罪者は、アクティブなオンライン バンキング セッションを乗っ取ることができ、新しいトロイの木馬は、詐欺に遭っていることを被害者が気付かないように口座残高を偽装することができます。
従来、このようなマルウェアは特定の銀行のユーザー名とパスワードを盗んでいましたが、資金を引き出すには、犯罪者が侵害した口座に手動でアクセスする必要がありました。こうした攻撃を阻止するため、金融サービスはデバイスID、位置情報、難しい質問などの認証方法を開発しました。
残念ながら、こうした障害に直面する犯罪者も巧妙化しています。トロイの木馬の一種であるURLzoneは非常に高度なため、セキュリティベンダーのFinjanはこれを次世代のプログラムと位置付けています。
より洗練された
今日の銀行攻撃は、はるかにステルス性が高く、リアルタイムで実行されます。キーロガーはキー入力を記録するだけですが、URLzoneは、攻撃者がログインし、必要な認証情報を提供し、銀行のページを偽装してセッションを乗っ取ることを可能にします。この攻撃は中間者攻撃と呼ばれ、被害者と攻撃者が同時にアカウントにアクセスするため、被害者は自分のアカウントに異常が見られないことに気付かない可能性があります。
Finjanによると、高度なURLzoneプロセスにより、犯罪者は被害者の銀行口座から盗む金額の割合を事前に設定できる。これにより、金融機関に搭載されている不正行為アラートは作動しない。昨年8月、Finjanは、複数のドイツの銀行口座保有者から22日間にわたり、URLzoneを悪用した1日あたり17,500ドルの窃盗事件を記録した。多くの口座保有者は、この事件が起きていることに気づいていなかった。
しかし、RSAの不正対策チームによると、URLzoneはほとんどの銀行ボットネットやトロイの木馬よりも一歩先を行く。銀行トロイの木馬を使う犯罪者は通常、金銭を奪い、被害者の口座から複数の「ミュール」と呼ばれる人物に送金する。ミュールは金銭の一部を自分のものにし、残りの金銭を海外に送金する。多くの場合、これは海外の住所に商品を発送する形で行われる。
URLzone は監視されていることも検知しているようです。RSA の研究者が URLzone の仕組みを記録しようとしたところ、このマルウェアが偽の運び屋 (多くの場合は正当な関係者) に金銭を送金し、調査を妨害しました。
サイレントバンカーとゼウス
3年前に登場したSilentbankerは、フィッシングサイトを利用した最初のマルウェアプログラムの一つでした。被害者が偽の銀行サイトにアクセスすると、Silentbankerは警告を発することなくPCにマルウェアをインストールしました。また、銀行口座のスクリーンショットを撮影したり、正規サイトからユーザーをリダイレクトしたり、HTMLページを改ざんしたりしていました。
Zeus(別名Prg Banking Trojan、Zbot)は、商業銀行口座を標的とするバンキングボットネットです。セキュリティベンダーのSecureWorksによると、Zeusは特定の銀行を標的とすることが多いとのことです。Zeusは、被害者が口座にログインするまで待機することで認証プロセスを突破する、最初のバンキング型トロイの木馬の一つです。その後、銀行を装い、社会保障番号などの個人情報の入力を求めるメッセージを、目立たないように挿入します。
Zeusは、従来の電子メールフィッシング手法を用いて、ユーザーが銀行の認証情報を入力するかどうかに関わらず、PCに感染します。最近のZeus関連の攻撃では、IRSからのメールを装ったものがありました。
しかし、これまでのバンキング型トロイの木馬とは異なり、被害者ごとに若干異なるバージョンが送信されるため、Zeus 感染の検出は非常に困難です。
クランプ
Zeusに似た銀行ボットネットであるClampiは、長年活動を停止していましたが、最近になって活発化しました。SecureWorksのマルウェア調査ディレクター、ジョー・スチュワート氏によると、Clampiは約4,500の金融機関のウェブサイトのユーザー名とパスワード情報を収集します。この情報はC&Cサーバーに中継され、犯罪者はそのデータを即座に利用して資金を盗んだり、商品を購入したり、あるいは後で利用するために保存したりすることができます。ワシントン・ポスト紙は、Clampiボットネットの被害者数名から情報を集めています。
Clampiは、被害者が銀行口座にログインするのを待ち、ユーザー認証を突破します。ログインすると、銀行のサーバーがメンテナンスのため一時的に停止していることを示す画面が表示されます。被害者が別の画面に移動すると、攻撃者はまだアクティブな銀行セッションを密かに乗っ取り、口座から資金を引き出してしまいます。
データの保護
こうしたマルウェア感染のほとんどは、被害者がフィッシング詐欺の電子メールに返信したり、侵害されたサイトを閲覧したりしたときに発生するため、SecureWorks の Stewart 氏は、銀行取引を残高の確認や請求書の支払いにのみ使用する専用マシン 1 台に限定することを推奨しています。
あるいは、CDやUSBメモリから起動できるUbuntu Linuxなどの無料OSを使うこともできます。オンラインバンキングを行う前に、Ubuntuを起動し、付属のFirefoxブラウザを使って銀行のサイトにアクセスしてください。バンキングを狙うトロイの木馬のほとんどはWindows上で動作するため、一時的にWindows以外のOSを使用することで、携帯電話でのバンキングと同様に、トロイの木馬を無効化できます。
しかし、重要なのはウイルス対策ソフトウェアを最新の状態に保つことです。ほとんどのセキュリティプログラムは、新しいバンキング型トロイの木馬を検出します。古いウイルス対策シグネチャファイルは、最新の攻撃からPCを保護するのに時間がかかる場合がありますが、2010年版にはクラウドベースのシグネチャ保護機能が搭載されており、脅威を即座に無効化します。