[調査・レポート]

「至って普通のExcelファイル」「Zeusの父」…サイバー世界の夏は危険がいっぱい―RSAのフィッシング攻撃報告

2015年8月13日(木)IT Leaders編集部

フィッシングがスピアフィッシングに進化し、今日では標的型攻撃が蔓延するなど、サイバー攻撃/詐欺の手口の進化がとどまるところを知らない。しかもこれらは夏季に勢いをつけて増殖する。EMCジャパンRSA事業本部の月次セキュリティレポート「AFCC NEWS」の最新版(2015年8月12日発行)が、フィッシング攻撃の最新傾向を伝えている。

普通のExcelファイルを装ったトロイの木馬

 まず、RSA AFCC(Anti-Fraud Command Center:詐欺対策指令センター)が報告する最新のトピックを紹介する。AFCCは、2014年末から、マルウェアに感染させるマクロを仕込んだPDFやWord文書を添付したメールを使った攻撃がさらに増加していることを警告している。同チームで先日、大量のJPEG画像を装ったファイルを貼り付けたExcelワークシートの拡散を確認した(画面1)。「chika」という名前が付けられたこのシートには、Excelのアタッチメント画像とおぼしきものを同梱し、そのアタッチメントを開くために使うアクティベーション・ボタンが付いている。

画面1:トロイの木馬を感染拡大させるためのExcelファイル(出典:EMCジャパン RSA事業本部)

 ユーザーがこのボタンをクリックすると、Excelのマクロ機能を有効にするようメッセージが表示される。指示に従うと、あっという間にトロイの木馬「Pony Stealer」がインストールされるという仕組みだ。このPony Stealerは、感染したPC からさまざまな情報を窃取すると同時に、金融関連情報を窃取するトロイの木馬「Banker」のインストールまでも行うという。

“Zeusの父親”なる凶悪マルウェアが再び流通

 AFCCが次に挙げるのは、銀行顧客を狙うマルウェア「Kronos」だ。AFCCによると、Kronosが最初に報告されたのは2014年7月で、その名はギリシャ神話に登場するZeusの父親に由来する。史上最悪と言われたZeusマルウェアにあやかろうというクラッカーの意図が見える。

 Kronosは、サーバー間通信の暗号化や主要WebブラウザがサポートするHTML/JavaScript インジェクションに対応している。正規サイトにアクセスしたと思ったら、改変ページに飛ばされ、銀行アカウントのPIN情報や「秘密の質問」の答えを窃取しようとする。ほかにも、ステルス機能や他のトロイの木馬、セキュリティソフトによる干渉を拒絶し、サンドボックス環境での実行を拒否するためのRing3ルートキット機能も組み込まれているという。

 EMC RSAによると、2015年2月にKronosと関連のあるC&Cサーバーを特定した後、このサーバーもマルウェアも姿を消していたが、最近になって再びKronosが地下犯罪者フォーラムで発売されているのを発見したという(図1)。そこでなされていたオファーは、アップデート、完全サポート、マニュアル類の永年無償提供が付いて、前回の半額以下の3000ドル(支払いはビットコイン限定)だった。

図1:地下犯罪者フォーラムに掲載されたKronosの広告(出典:EMCジャパン RSA事業本部)
拡大画像表示
関連キーワード

RSA / フィッシング / 標的型攻撃

関連記事

Special

-PR-

「至って普通のExcelファイル」「Zeusの父」…サイバー世界の夏は危険がいっぱい―RSAのフィッシング攻撃報告フィッシングがスピアフィッシングに進化し、今日では標的型攻撃が蔓延するなど、サイバー攻撃/詐欺の手口の進化がとどまるところを知らない。しかもこれらは夏季に勢いをつけて増殖する。EMCジャパンRSA事業本部の月次セキュリティレポート「AFCC NEWS」の最新版(2015年8月12日発行)が、フィッシング攻撃の最新傾向を伝えている。

PAGE TOP