Comments
Description
Transcript
一見、普通の画像に罠を仕掛けて感染させる トロイの木馬の亜種
一見、普通の画像に罠を仕掛けて感染させる トロイの木馬の亜種 Stegano-Zeus が出現 Monthly AFCC NEWS:2014 年 3 月号 (Vol.79) フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の 一途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると 監視を開始し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核である AFCC (Anti-Fraud Command Center:不正対策指令センター)では、200 名以上のフロード・アナリストが 24 時間 365 日体制で数カ国語を駆使し、対策に従事しています。AFCC NEWS は、フィッシングやオンライン犯罪関連ニュース からトピックを厳選し統計情報と共に AFCC がまとめたものです。(2014 年 3 月 5 日発行) 今月のトピック 今月は、『「見えないインク」を使うトロイの木馬 Zeus の新たな亜種 Stegano-Zeus が出現』を紹介する。 それは外と古典的な方法でセキュリティ・リサーチャの解析を阻もうとする Zeus の亜種だった。 今月の統計 1 月のフィッシング攻撃件数は、29,034 件と 昨年 12 月から 21%減少した が、この時期の減少は、例年の傾向で あり、驚くにはあたらない(「フィッシング攻撃数(月次推移)」参照)。ひと月に 5 回以上フィッシングを受けたブランドの 割合が、ここのところの 55%前後から 3 ポイントあまり下落した (「フィッシング攻撃を受けたブランド数(月次推移)」。 「フィッシング攻撃を受けた回数(国別シェア)」、では、米国が全体の 81%の攻撃を引き受けているが、それでも前回 比で 4 ポイント減少した。攻撃を受けた米国ブランドの数は、全体の 22%から 3 ポイントと増加した (「フィッシング攻 撃を受けたブランド数(国別シェア)」。米国に対する攻撃比率が減る一方で、ブランドの数が増えたということは、一 部ブランドに対する集中攻撃が、若干和らいだと言えるだろう。 今月のトピック 『「見えないインク」を使う ZEUS の新たな亜種が出現』 RSA が日々行っているオンライン犯罪インフラの監視及び解析の結果、悪名高いトロイの木馬「Zeus」の亜種 (Ver.2.0.8.9 をベースにしたもの)を発見した。このトロイの木馬は、JPEG 形式の画像ファイルに マルウェアの 設定情報を隠蔽できるようにカスタマイズされていることから、Stegano-Zeus(迷彩型 Zeus)と名付けられた。 ありふれた風景の中に潜む迷彩技法 設計図やアプリケーションを見えないところに隠し通す上で、目に付かないようにする、つまり「秘匿によるセ キュリティ」は、システムの安全を保つ、いわば常識である。たいていの場合、攻撃者(この場合はリサーチャ)の 狙いは情報収集となるからである。迷彩技術は、疑念や興味を惹かないように通信を秘匿するという意味では、 「秘匿によるセキュリティ」方式の一形態である。メッセージの内容を秘匿する暗号との違いは、電子迷彩を使う ことで、当事者以外はメッセージがやり取りされていることさえ気がつかない(したがって解読しようとしない)点に ある。 迷彩技術自体は、古代ギリシャやローマの世に、動物や伝達者自身の表皮や体内にメッセージを隠すという 方法が編み出されて以来、はや数千年にわたって使われてきた。そして、その過程で、見えないインクを使ったり、 1 背景に紛れるように小さな文字を使ったり、ありきたりのものの表面に写真やホログラフィとして微細印字するな ど、様々な進化を遂げてきた。さらに、この十年ほどで、迷彩技術は一見して無害に思えるファイルやデータスト リームにデータの固まりを埋め込むという、実にデジタルな世界に突入している。そして、この技法が Zeus 開発 者によって利用されている例が見つかったというわけである。 RSA は、出回った Stegano-Zeus が、3 万 5 千台規模のボットネットを構築している事例を確認している(詳細 は後述)。このボットネットは、主に中央ヨーロッパの国々を標的としていて、金融機関や大手企業の内部 PC の 関連例が確認されている。 あなたも目にしているかも知れない Stegano-Zeus の画像 右の画像は、Stegano-Zeus が感染しているボットにダウンロードされて いた画像である。特に何か仕込まれた画像とは思えないし、実際バイナリ レベルで解析してみても、有効なヘッダ情報と実際の画像情報を含んでお り、一見して疑念をいただかせるようなものではない。 しかし、このファイルの本来の画像データの後には、コメントを装った付 加情報が含まれていた。その情報は、Base-64 という形式で符号化されて おり、画像データとは何の関係もなかった。これこそが、トロイの木馬 Zeus の設定ファイルであり、感染ファイルなのである。 この仕組みには、のぞき見が好きな(我々のような)人の目から大切な情 報を隠すだけでなく、自動検知や読み取り機構を欺くのにも使える。ネット ワーク監視装置や侵入検知システム、プロキシソフトウェアなどたいてい のツールは、一見してウェブ上の画像をやり取りしているように見えるこの 通信を監視対象から外してしまう。 Stegano-Zeus に埋め込まれたデータ Zeus の設定データは、画像ファイルのコメント・フィールドに格納されている。コメント・フィールド(あるいはコメ ント・セグメント)はサイズの制約はなく、一般的な画像ビューワからは無視される。RSA が調査した限り、この亜 種が用いる画像ファイルは、JFIF(JPEG File Interchange Format:JPEG 形式で圧縮された画像データをファイ ルに格納するための標準形式)に則っているが、コメント欄におけるデータ配列には共通性がある。 ベースは悪名高い ZEUS 2.0.8.9 のソースコード Stegano-Zeus は、調査した結果、Zeus 2.0.8.9 のソースコードがベースとなっている。この Zeus 2.0.8.9 は、 そのソースコードが漏えいし、爆発的に広まったことで、今日の Zeus の亜種の大蔓延のきっかけとなっている。 実際、JPEG コードの意味解析部分を除けば、オリジナル版との差は取るに足らないものである。例えば、この 亜種でも画像ファイルから設定情報を読み込んだ直後に、よく知られている「BinStorage::Unpack」ルーチンが 実行される。 2 C&C サーバ このボットネットの C&C サーバにアクセスすると、以下の画像が表示される。この画像は、あたかもこのサイト が捜査当局によって閉鎖されたかのように装っているが、実際に表示されるものとはほど遠い。 地域別の感染状況 この Stegano-Zeus に感染された 35,129 台からなるボットネットの地域別感染状況を紹介しよう。 フランス スペイン 豪州 364 331 591 米国 812 ポーランド 314 インド 890 英国 1,527 オーストリア 2,276 ドイツ 14,082 イタリア 7,942 まとめ 有名人のプライベート画像や戦場の様子など、扇情的なタイトルで、マルウェアの配布サイトに誘導する手口 については、これまでも再三にわたって警鐘を鳴らしてきた。しかし、今回のようにありきたりの画像ファイルに不 正行為の罠が仕掛けられるとなると、これまで以上に、「信頼の置けないサイト、メール、そして画像にも近寄らな い」という基本的なセキュリティ意識の徹底が重要になってくるだろう。 3 今月の統計レポート ◆ フィッシング攻撃数(月次推移) 2014 年 1 月、AFCCが検知したフィッシング攻撃件数は 29,034 件と、12 月の 36,875 件から 21%減少した。 一見、大きな減少しが続いているように見えるが、これは例年見られる季節的な循環傾向であり、脅威の後退と 考えるべきではない。感謝祭から年末年始のショッピングシーズンに得た収穫物の換金作業と、年明けの作戦 準備に向けて、フィッシング犯たちが一休みする時期に過ぎないのである。 70,000 60,000 62,105 50,000 36,966 35,831 30,000 20,000 46,119 45,232 40,000 42,364 36,875 33,861 29,034 26,902 30,151 27,463 24,347 10,000 0 1月 ◆ 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 フィッシング攻撃を受けたブランド数(月次推移) 1 月にフィッシング攻撃を受けたブランドは 336 件と、12 月の 328 件に比べて約 2%増加した。5 回を超える 攻撃を受けたブランドの占める比率は 50.6%と、12 月の 54%に比べると低下している。これは、攻撃を受けたブ ランドは増えたものの、手ひどく集中攻撃を受けたブランドの件数、比率は共に減少したということであり、若干 攻撃先が分散したということができよう。 なお、初めて攻撃を受けたブランドは 5 件だった。 400 351 350 300 341 344 337 322 311 291 257 328 336 177 170 304 265 260 250 200 150 100 182 148 134 140 174 148 187 162 149 152 8月 9月 10月 11月 12月 1月 134 月間5回を超える攻撃を受けたブランド 50 0 1月 2月 3月 4月 5月 6月 4 7月 ◆ フィッシング攻撃を受けた回数(国別シェア) 攻撃回数に占める米国のブランドの比率は、10 月 81%、11 月 76%、12 月 85%と推移し、1 月も 81%と高止 まりの状態が続いている。 コロンビア カナダ 1% 2% 2 位以降は文字通りドングリの背比べで、英国が その他 48ヵ国 南アフリカ 7% オランダ 2% 4%、オランダ 2%、南アフリカ 2%、カナダ 2%、コロ 2% ンビア 1%と続いている。 英国 4% なお、圏外の 48 ヵ国で残りの 7%を分け合った (12 月は、7%を 50 ヵ国で分け合った)。 米国 81% ◆ フィッシング攻撃を受けたブランド数(国別シェア) 1 月に攻撃を受けた米国のブランドの占めた比率は全体の 25%と、受けた攻撃件数の比率に比べて少ない が、それでも 12 月の水準から 3 ポイント増加した。米国の特定のブランドに対する攻撃の緩和傾向が見て取れ る。 2 位の英国は 3 ポイント増の 12%、3 位は、9 ヶ月連続のインドで 1 ポイント増の 6%、4 位カナダの 4%まで は、12 月と顔ぶれも順位も変わらない。5 位は、ブラジルに代わって豪州が 4%でランクインした。 12 月はランクインした国で 4 割ほどしか占めていなかったが、1 月は 51%まで増えている。 1%以下の比率を占める国々の占めるシェアは一転して減少し、ほぼ半分を 49 ヵ国で分け合った(12 月は 58%を 50 ヵ国で分け合った)。 米国 25% その他 49ヵ国 49% 英国 12% インド 6% カナダ 豪州 4% 4% 5 ◆ フィッシング攻撃の金融機関分類別分布 1 月、大手銀行の利用者を狙う攻撃の比率は、1 月と大差ない水準であったが、久々に増加した地方銀行に 対する攻撃比率が一転して 10 ポイント減少した。その分、信用金庫は 11 ポイント増の 16%と、最近としてはか なり多くの比率を占める結果となった。 このチャートが反映しているのは、金融機関に対する攻撃量ではなく、狙われた金融機関を種類別に分類した 攻撃の発生状況である。また、大半のフィッシング攻撃が、地域を限定しないメーリングリストを利用した大量の スパム配信によるものであることから、全国に幅広く分散している大手銀行の顧客がスパムを受信する確率は 高くなる。この全体的な傾向は、2010 年 3 月、それまでの地方銀行への攻撃が大手銀行に向けられるように なって以来、変わらずに続いている。 100% 90% 80% 15% 15% 8% 17% 23% 15% 12% 8% 11% 11% 19% 13% 15% 20% 70% 11% 23% 14% 15% 26% 28% 60% 57% 9月 10月 8% 5% 21% 32% 16% 22% 60% 50% 40% 30% 70% 69% 63% 73% 73% 76% 74% 66% 71% 63% 62% 12月 1月 20% 10% 0% 1月 2月 3月 4月 5月 6月 米国大手銀行 7月 8月 米国地方銀行 11月 米国信用金庫 ◆ フィッシング攻撃のホスト国別分布(月次) 1 月も最も多くのフィッシングをホストした国は米 その他86ヵ国 25% 国だった。その比率は 36%と、大幅減となった 12 月の 34%から 2 ポイントの増加と反転した。 米国 34% ドイツ、カナダの常連組が、12 月に初めて 2 位 に入ったコロンビアを僅差で上回った。そのコロン フランス 3% 豪州 イタリア 3% 3% ビアは、6%で 4 位を占め、以降は、オランダ、ロシ ア、英国が各 4%、イタリア、豪州、フランスが各 3%と続いた。 英国 ドイツ 4% 7% ロシア 4%オランダ カナダ 4% コロンビア 7% 6% 1%以上の比率を占めた国は 7 ヵ国から 10 ヵ国 に増え、残り 25%を 86 ヵ国で分け合った(12 月は、 37%を 101 ヵ国で分け合った)。 ※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類であ る。 6 ◆ 日本でホストされたフィッシングサイト(月次推移) 2014 年 1 月、日本でホストされたフィッシングサイト数は 26 件だった。 その一方で、1 月に入ってからフィッシング対策協議会に寄せられたフィッシング報告件数は、未曾有の規模と 紹介した 1,452 件の 3.2 倍にあたる 4,656 件にも上っている。その大半は、ハンゲームに代表されるオンライン ゲームサービスや三菱東京 UFJ 銀行に代表される金融機関のオンラインサービスの利用者を狙ったものだとい う。同協議会によれば、閉鎖するそばから新たなフィッシングサイトが立ち上がる状況で、攻撃者の執拗さが際 立っているという。 これだけ攻撃件数が増えている中で、日本国内のホスティング数が増えていないと言うことは、攻撃者が国際 的に活動を展開していると見るべきだろう。ことオンライン犯罪については、日本はさながらガラパゴス島のよう な環境の恩恵を受けているという楽観論が幅をきかせてきた感があるが、いよいよそうした見方に安住できない 時機が来たと考えるべきであろう。基本的な対策を厳にすると同時に、ユーザに対するセキュリティ意識向上の 啓蒙を推進する必要がある。 45 39 40 35 31 30 26 25 20 15 15 11 10 11 7 10 5 2 2 0 3 1 0 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 ※ この報告は、AFCC が把握している攻撃の数です。 AFCC NEWS のバックナンバーは Web でご覧いただけます。 http://japan.emc.com/security/rsa-identity-protection-and-verification/rsa-fraudaction.htm#!リソース 本ニュースレターに関するお問い合せ先 EMC ジャパン株式会社 RSA 事業本部 マーケティング部 嶋宮 知子 Tel : (03)6830-3234(直通)、(03)6830-3291(部門代表) eMail : [email protected] 7 サイバー犯罪グロッサリー APT 攻撃 APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法 を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。 Blackshades トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。 CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま たそれに使われる画像。 C&C サーバ Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。 Citadel 流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。 Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。 CITM Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え などの高機密情報を詐取する攻撃方法。 Dark Market オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、 2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。 fast-flux ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。 MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー ドを実行させることから、この名がついた。 Neosploit マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、 2008 年 7 月開発チームが業績不振を理由に廃業宣言した。 RBN Russian Business Network。悪名高いロシアのサイバー犯罪者組織。 Rock Phish 世界最大規模のオンライン犯罪者集団のコード名。 SilentBanker 2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。 Sinowal トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確 認されており、Torpig の別名を持つ。 SpyEye トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、 両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。 Stuxnet 金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由 で感染し、重要インフラに関わるシステムを麻痺させようとする。 ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス ティングサービス。 Zeus トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。 カーディング 不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。 ミュール 盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ まされて、知らぬ間に犯罪の片棒を担がされている人を指す。 ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター・ブート・レコード)に不正な書き 換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア リシッピング カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。 最近はサービスとしても提供されている。 8