新旧手法を脅威拡散に利用する攻撃者―― ネットバンキング被害、フィッシング詐欺、ランサムウェア

止まらないネットバンキング被害――不正プログラム検出台数は前年同期比1.5倍増

　2012年末から日本に流入したネットバンキングを狙う攻撃は、2015年に入っても収束の気配を見せない。2015年第1四半期は、日本における主要オンライン銀行詐欺ツールの検出台数が8,300件に上り、2014年第1四半期の5,600件と比べ1.5倍の増加となった※1。

 　オンライン銀行詐欺ツールに感染すると、金融機関の正規のWebサイトにアクセスしているにも関わらず偽の画面が表示され、情報を窃取される。感染経路としては、改ざんされた正規のWebサイトを経由するケースや「マルウェアスパム※2」の他、2015年3月には「マルバタイジング（不正広告）」によるZBOT拡散の事例が確認されている。この事例では、アダルトサイト上で表示される広告コンテンツが改ざんされ、その広告が表示されただけで脆弱性攻撃サイトへ誘導されるスクリプトが設置されていた。

 　また、攻撃成果の拡大を狙った新たな攻撃手法も確認されている。2014年12月に国内で初めて発見された新しいオンライン銀行詐欺ツール「WERDLOD」は、2015年2月に大手オンラインショッピングモールからの請求書を偽装するスパムメールに添付されて頒布されているのが確認されている※3 (図1)。 　

　「WERDLOD」は、これまで主流だったオンライン銀行詐欺ツール※4とは異なり、プロキシ設定の改変により中間者攻撃（暗号通信を盗聴したり介入したりする攻撃）を行う。「WERDLOD」の中間者攻撃では、不正なルート証明書を感染環境にインストールすることにより正規のSSL通信が成立しているように見せかけるなど、より気付かれにくい巧妙な攻撃となっている。特に、「WERDLOD」本体を削除しても、改変されたプロキシ設定が修正されるまで中間者攻撃が継続し続けることは対応の上でも注意すべき点だ。

フィッシング詐欺は前年同期比2.8倍増――9割がネットショッピング、オンラインゲーム、Apple関連に集中

　2014年に急増した日本を狙うフィッシング詐欺は、2015年に入っても増加している。2015年第1四半期にフィッシングサイトへ誘導された日本国内のIPアドレス数は767,000件であったが、これは前年同期である201 4年第1四半期の274,000件と比べ、およそ2.8倍となる数字である※5 (図2)。 　

　日本国内から誘導されたフィッシング詐欺サイトのブランドやサービスを見てみると、44%がネットショッピング関連のフィッシング詐欺サイトであることが分かった。続いて、オンラインゲーム関連が29％、Apple関連が12%、検索エンジン・ポータルが11%という結果であった※6 (図3)。 　

 　インターネットのオンラインサービスで使用される認証情報を詐取する手法としては古典的なフィッシング詐欺だが、いまだ攻撃者にとって有効な攻撃手段であるようだ。特に日本については、ネットショッピングやオンラインゲームのフィッシング詐欺サイトへ誘導される利用者の割合が多く、インターネット利用者の行動や嗜好に合わせた攻撃が行われている。このようなネット詐欺に関しては技術的な検知と同時に、その手口をよく周知して行くことが重要である。