マンスリーAFCCニュース：2014年5月

マルウェアツール販売、アングラ市場から SNS へ
ツールが簡単に買えるようになった現状をレポート
Monthly AFCC NEWS：2014 年 5 月号 （Vol.82）
フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の
一途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると
監視を開始し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核である AFCC
（Anti-Fraud Command Center：不正対策指令センター）では、200 名以上のフロード・アナリストが 24 時間 365
日体制で数カ国語を駆使し、対策に従事しています。AFCC NEWS は、フィッシングやオンライン犯罪関連ニュース
からトピックを厳選し統計情報と共に AFCC がまとめたものです。（2014 年 5 月 28 日発行）
今月のトピック
今月は、『FRAUDSTER SELLS MALWARE TOOLS ON THE OPEN WEB ～オープンなウェブサイトでマル
ウェアを売り込む厚顔なオンライン犯～』と題して、Facebook でスパイウェアのパッケージソフトを販売する開発者に
ついて紹介する。
今月の統計
4 月のフィッシング攻撃件数は 52,554 件と、3 月の 42,537 件から 24%増加した。昨年の同時期の累計数を約 5
割上回っている (「フィッシング攻撃数（月次推移）」参照)。「フィッシング攻撃を受けたブランド数（月次推移）では、5
回を超える攻撃を受けたブランドの占める比率は 54%と、3 月の 44%から大きく増加し、特定ブランドへの集中攻撃
の傾向が戻ってきた。その「フィッシング攻撃を受けたブランド数（月次推移）」の他、「フィッシング攻撃を受けた回数
（国別シェア）」、フィッシング攻撃のホスト国別分布(月次)でも、上位を占める国々の顔ぶれや比率がほとんど変わら
なかったのも 4 月の特徴である。
今月のトピック 『FRAUDSTER SELLS MALWARE TOOLS ON THE OPEN WEB ～オープンなウェブサイ
トでマルウェアを売り込む厚顔なオンライン犯～』
RSA は、とある Zeus タイプのトロイの木馬の標本について調査をしている際に、TampStore という名前のオン
ラインストアで Crown Software という開発元が作成したスパイウェアセットを販売しているのを新たに発見した。
もとはと言えば、このショップが運営しているドロップサーバーの発見がきっかけだった。このオンラインショップの
運営者にして、スパイウェアの開発者と目される男（以下、オンライン犯と呼ぶ）は、従来のオンライン犯罪者の
常識を覆すような、厚顔といっても差し支えのない販促活動を展開している。
 オンラインストアが提供する商品ラインアップ
このオンラインストアは、合法的なスパイウェアのツールセットと標榜して、多くのパッケージ・ソフトウェアを
オープンに販売している。製品には、それぞれが異なる色で識別できるようにするなど、一般のソフトウェアと見
まがうようなパッケージデザインが用意されている（図-1 参照）。しかし、これらのツールは、多くの地域において
違法となるであろう多くの機能を提供しており、一般にマルウェア開発者によって、感染した PC からデータを窃
取するために使われるマルウェアである。
1
まずは、そのラインアップを紹介しよう。

TampZusa
ブラウザ、メールクライアント、キーロギング、スクリーンキャプチャ、ウェブカメラ、メッセンジャークライアン
トなどから情報や画像を盗むためのアプリケーション

TampStealer
TampZusa に、多くのボーナス機能が追加された
バージョン

TampKelogger Classic
条件に応じて制御でき、ウィンドウタイトルも記録でき
るキーロガーの基本版

TampKeylogger Premium
TampKelogger Classic に、あらゆる機能を追加した
最高級バージョン

TampSpammer
スパムメール大量同報用の基本的なアプリケーション
図-1 TAMPSTORE
オンラインストアの広告によれば、最も充実した機能を誇るのは TampStealer のようで、以下の通り、豊富な機
能を搭載している。

条件に応じて制御できるキーロギング機能

画面キャプチャー機能（ユーザーによるキャプチャ画像の窃取）

ウェブカメラ映像の窃取機能

ブラウザのパスワード入力窃取機能（Opera、
Chrome、 Firefox、Safari、Internet Explorer、
Netscape に対応）

スパムメールの大量同報機能

サイレント・ダウンローダ 1

Avira 2 Firewall機能のバイパス機能

マルチクライアント対応のリモート管理機能

FTP サーバや PHP サーバに対するログ送信
機能

FileZilla 3からのデータ窃取機能

メールクライアントからのデータ窃取機能
図-2CROWNSOFT の Facebook ページ
（Outlook、Windows Mail、Eudora、IncrediMail、 Netscape に対応）
1
2
3
ダイアローグメッセージを出さずに、ファイルを強制的にダウンロードする機能
無料のセキュリティソフト
クロスプラットフォームタイプの FTP クライアント
2

PidGin 4からのデータ窃取機能

アプリケーションのアイコン変更機能（変更用アイコンパッケージを同梱）
 厚顔な開発者
CrownSoft を開発したオンライン犯は、「moniker
wav3」と名乗っている。Wav3 は、Facebook 上で自
らの作品を売り込んだり、多くのフォーラムやオープ
ンな SNS 上で自身のメールアドレスを晒すことも厭
わない（図-2、図-3 参照）。
RSA では、この wav3 なる人物が、あるルーマニ
アのコンピュータ・ハッカー・フォーラムに対して数多
く投稿していることや、ウェブプログラミングフォーラ
ムで自らの採用を売り込む宣伝を行っていることも
確認している。 また、RSA は、このアプリケーショ
ンの標本の入手にも成功しており、その一部を入
手・検証した結果、このマルウェアが fakemailer.net
図-3: ルーマニアのハッカーフォーラムにおける製品の広告
（本人かもしれない人物の顔写真入り）
と呼ばれるサービスを使って、wav3 の持つ複数の
アドレスにメールを送っていることも判明した。さらに
は、 このオンライン犯が、大胆にも自らのウェブサイトの URL やソフトウェア名の署名をアプリケーションに埋め
込んでいることも判明している。
 まとめ
サイバー犯罪用ソフトウェアツール販売の広告はまったく目新しいものではないが、広告は地下のフォーラム
でひっそりと行われてきた。それを、Facebook のような一般の SNS サイトであからさまに広告するというのは、
大胆を通り越して、馬鹿げているように思われる。しかし、この人物に限っては、自らが作ったソフトウェアやマル
ウェアが広く一般に露見することに、恐れや懸念を感じている様子が全く見えない。
一方で、既存のプライバシー法が約束している権利が、こうした行為の抑制や妨害につながるかどうかは疑わ
しいのも事実である。RSA が調査した TampStealer の管理者用コントロールパネルとログファイルからは、ログ
イン情報を窃取された被害者が 8,145 人に上ることが確認されている。
4
メッセンジャークライアント
3
今月の統計レポート
◆ フィッシング攻撃数（月次推移）
2014 年 4 月、AFCC が検知した単月のフィッシング攻撃件数は 52,554 件と、3 月の 42,537 件から 24%増
加した。これは、前年同期比 95％増にあたり、季節要因(米国で納税シーズンにあたる 4 月に攻撃が増加する)
を除いても、サイバー犯罪が活性化している様子が窺われる。その背景には、米国における“オバマケア”を取り
巻く民間レベルでの混乱が、詐欺師につけ込む機会を許しているという指摘がある。
なお、ここまでの年間累計件数は、過去最高の攻撃件数を記録した昨年の同時期の累計攻撃件数を、すでに
5 万 2 千件以上、およそ 5 割上回っており、そのハイペースぶりが目立っている。
70,000
60,000
62,105
50,000
52,554
36,966 35,831
30,000
20,000
46,119
45,232
40,000
42,537
42,364
36,883
36,875
33,861
29,034
26,902
10,000
0
4月
5月
6月
7月
8月
9月
10月 11月 12月
1月
2月
3月
4月
◆ フィッシング攻撃を受けたブランド数（月次推移）
4 月にフィッシング攻撃を受けたブランドは 319 件と、3 月の 333 件に比べて約 4%減少した。5 回を超える攻
撃を受けたブランドの占める比率は 54%と、3 月の 44%から大きく増加した。
3 月にいったん後退した「総攻撃回数が増加した月は、攻撃を受けたブランド数が減って、手ひどく集中攻撃を
受けたブランドの比率が増える」という傾向が戻ってきた。
なお、初めて攻撃を受けたブランドは 2 件だった。
400
351
350
341
337
311
344
322
328
336
304
300
333
319
287
265
250
200
150
100
182
174
148
187
162
177
170
149
152
8月
9月 10月 11月 12月 1月
134
171
148
145
2月
3月
50
0
4月
5月
6月
7月
4
4月
◆ フィッシング攻撃を受けた回数（国別シェア）
4 月の特徴は、上位 3 ヵ国が不動のまま（合計比
率 83％も変わらず）だった点にある。
その他50ヵ
国
フランス
12%
2%
南アフリカ
3%
オランダ
3%
英国
4%
首位を占めた米国ブランドに対する攻撃の比率
76%は、3 月の 67%から 9 ポイント増加し、2 月の
77％に近い水準まで戻した。その一方で、2 位の英
国が 6 ポイント減の 4%、オランダが 3 ポイント減の
3%と比率を下げている。
3 月の顔ぶれとの違いで言えば、インド、コロンビ
アに代わって、南アフリカ、フランスがランクインして
いる。なお、圏外の 50 ヵ国で残りの 12%を分け合っ
ている（3 月は、13%を 51 ヵ国で分け合った）。
米国
76%
◆ フィッシング攻撃を受けたブランド数（国別シェア）
4 月に攻撃を受けた米国ブランドの占有比率は全体の 27％だった。3 月に比べて 1 ポイント減少し、相変わら
ず受けた攻撃件数の比率に比べて少ない状態が続いている。すなわち、攻撃件数の増加がブランド数の増加に
つながっておらず、特定のブランドの利用者に攻撃が集中している様子が窺われる。2 位の英国、3 位のインドは、
それぞれ、変化なしの 9%、1 ポイント減の 6%と、こちらも、上位 3 ヵ国の顔ぶれは変わらず、比率も横ばいとなっ
ている。
イタリアが 2 ポイント増で 4 位に入り、3 月に豪州と入れ替わってランク落ちしたカナダも同じ 4 位に復帰した。
ランクインした国で占める比率は、3 月の 52%に近い 53%だった。これは、ピークだった昨年 12 月の水準からお
よそ 10 ポイント減にあたる水準である。
1%以下の比率を占める国々は、50 ヵ国で 47%を分け合っている（3 月は 48%を 51 ヵ国で分け合った）。
米国
27%
その他
50ヵ国
47%
英国
9%
インド
6%
イタリア
カナダ
5%
5%
5
◆ フィッシング攻撃の金融機関分類別分布
4 月、大手銀行の利用者を狙った攻撃の比率は、2 月から 2 ヶ月連続で減少し、過去一年の最低水準となった。
2 月に 12 ポイント増と歴史的な高水準を占めた信用金庫の利用者を狙う攻撃も、3 月、4 月と減少し、平均的な
水準に戻っている。その結果、2 月に 5％まで減少した地方銀行に対する攻撃が、過去一年の最大水準にあたる
32％まで増加している。
このチャートが反映しているのは、金融機関に対する攻撃量ではなく、狙われた金融機関を種類別に分類した
攻撃の発生状況である。また、大半のフィッシング攻撃が、地域を限定しないメーリングリストを利用した大量の
スパム配信によるものであることから、全国に幅広く分散している大手銀行の顧客がスパムを受信する確率は
高くなる。この全体的な傾向は、2010 年 3 月、それまでの地方銀行への攻撃が大手銀行に向けられるように
なって以来、変わらずに続いている。
100%
90%
15%
80%
12%
8%
19%
11%
13%
11%
15%
11%
23%
70%
14%
15%
8%
21%
26%
28%
60%
57%
9月
10月
5%
16%
9%
11%
30%
32%
61%
58%
3月
4月
28%
32%
22%
5%
60%
50%
40%
73%
73%
76%
74%
30%
66%
71%
63%
62%
68%
12月
1月
2月
20%
10%
0%
4月
5月
6月
7月
8月
米国大手銀行
11月
米国地方銀行
米国信用金庫
◆ フィッシング攻撃のホスト国別分布(月次)
4 月も最も多くのフィッシングをホストした国は米国
だった。しかし、その占めた比率は 4 ヶ月連続で 35%と、
その他79ヵ国
23%
相変わらず最低水準で推移している。被害側のスタッ
ツだけでなく、加害側においても、2 位以降のドイツ、オ
米国
35%
ランダ、イタリアまで順位は同じ、比率も±1 ポイントと、
ほとんど変化がない。
トルコ、スペインが圏外に去った一方で、英国、韓国、
コロンビア、豪州が戻ってきた。2 月 11 ヵ国、3 月 9 ヵ
国、4 月 10 ヵ国と、昨年前半の 6 ヵ国程度に比べると、
ランクイン国が多い状態が続いている。
4 月は、全体の 23%を 1%未満の 79 ヵ国で分け合っ
ている（3 月は、30%を 95 ヵ国で分け合っていた）。
※ いずれもフィッシングサイトをホストした ISP やフィッシングド
メインを管理していた登録事業者の所在地別分類である。
6
ロシア
2%
豪州
2%
コロンビア
3%
カナダ
3%
韓国
4%
フランス
5%
ドイツ
6%
英国
5%
イタリア
6%
オランダ
6%
◆ 日本でホストされたフィッシングサイト（月次推移）
2014 年 4 月、日本でホストされたフィッシングサイト数は 18 件と、3 月の 40 件から 12 件減少した。
45
39
40
40
35
31
30
26
25
18
20
15
11
15
12
11
7
10
5
2
3
1
0
4月
5月
6月
7月
8月
9月
10月 11月 12月
1月
2月
3月
4月
この 4 月、フィッシング対策協議会に寄せられたフィッシング報告件数は、1,659 件だった。1 月の 4,656 件、2
月の 2,836 件、3 月の 4,181 件に続べると減少したものの、それでも昨年 12 月以来 5 ヶ月連続で 1,000 件の
大台を超えている。それにもかかわらず、悪用されたブランド件数はわずか 14 件に留まっており、引き続き、限
られたブランドの利用者が狙われている様子が窺える。なお、このひと月あまりの間に、同協会からは、ゆうちょ
銀行、お名前.com、三井住友銀行、スクエア・エニックス(FINAL FANTASY XIV)の利用者に対する注意喚起が
出ている。
4 月以降だけでも、三菱 UFJ ニコス、ソフトバンク、パナソニック、ソニーマーケティング、日本バスケットボール
協会、セガといった組織のサーバが、不正アクセスを受けたと報じられている。会員の個人情報を窃取する目的
と思われるケースもあるが、水飲み場攻撃（主に有名かつ権威のあるサイトに対する、当該サイト訪問者へのマ
ルウェア感染や個人情報窃取を行うための不正改変を仕掛ける攻撃）への活用を企図していると思われるケー
スも見受けられる。特に、競技団体の公式サイトに対する攻撃は、2020 年の東京五輪開催準備関係者への感
染を企図しているという指摘もあり、注意が必要である。
最近も、Internet Explorer や Apache Struts2 などでゼロデイの深刻な脆弱性が報告されており、サポート期
限の切れた Windows XP も含めて、ソフトウェア更新を適切に実施することは、サイバー犯罪者に付け入れられ
ないようにためにも、欠かせない要対策項目である。
※この報告は、AFCC が把握している攻撃の数です。
AFCC NEWS のバックナンバーは Web でご覧いただけます。
http://japan.emc.com/security/rsa-identity-protection-and-verification/rsa-fraudaction.htm#!リソース
本ニュースレターに関するお問い合せ先
EMC ジャパン株式会社 RSA 事業本部 マーケティング部
嶋宮 知子
Tel ： (03)6830-3234（直通）、（03）6830-3291（部門代表） eMail ： [email protected]
7

サイバー犯罪グロッサリー
APT 攻撃
APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法
を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。
Blackshades
トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。
CAPTCHA
Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ
れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま
たそれに使われる画像。
C&C サーバ
Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバ。
Citadel
流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。
Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。
CITM
Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え
などの高機密情報を詐取する攻撃方法。
Dark Market
オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、
2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。
fast-flux
ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす
るため、複数のドメイン上のサーバを自動的に使い回す点が大きな特徴。
MITB
Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ
ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー
ドを実行させることから、この名がついた。
Neosploit
マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、
2008 年 7 月開発チームが業績不振を理由に廃業宣言した。
RBN
Russian Business Network。悪名高いロシアのサイバー犯罪者組織。
Rock Phish
世界最大規模のオンライン犯罪者集団のコード名。
SilentBanker
2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ
ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。
Sinowal
トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確
認されており、Torpig の別名を持つ。
SpyEye
トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、
両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。
Stuxnet
金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由
で感染し、重要インフラに関わるシステムを麻痺させようとする。
ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス
ティングサービス。
Zeus
トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて
いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。
カーディング
不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。
ミュール
盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ
まされて、知らぬ間に犯罪の片棒を担がされている人を指す。
ランサムウェア 他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター･ブート･レコード)に不正な書き
換えを加えるなど、一方的にユーザがデータにアクセスできないようにした上で、身代金を要求するマルウェア
リシッピング
カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。
最近はサービスとしても提供されている。
8