セキュリティ企業のESETとキヤノンITソリューションズは2015年10月16日、 日本のインターネットバンキング利用者を狙い、金融庁を装ったフィッシングサイトに誘導するマルウエアに注意を呼び掛けた。
日本のインターネットバンキング利用者を狙い、金融庁を装ったフィッシングサイトに誘導するマルウエア(トロイの木馬)、「Brolux.A」が拡散している。セキュリティ企業のESETとキヤノンITソリューションズが2015年10月16日に情報を公開し、注意を呼び掛けた。
このマルウエアに感染すると、ユーザーが国内のインターネットバンキングサイトにアクセスしようとした際、金融庁のWebサイトを模したフィッシングサイトに誘導される。その表示に従ってアカウント情報などを入力すると、攻撃者に情報が盗み取られ、悪用される恐れがある。
Brolux.Aの感染元はアダルトサイトだ。2014年に修正されたInternet Explorerの脆弱性(CVE-2014-6332)や、2015年7月に修正されたAdobe Flash Playerの脆弱性(CVE-2015-5119)のパッチ(関連記事)を適用していない状態で閲覧すると攻撃コードが実行され、Brolux.Aに感染してしまうという。
Brolux.Aは感染後、Webブラウザのアドレスバーに表示されるURLやWebサイトのタイトルを監視。あらかじめ用意したリストに記されている日本のインターネットバンキングサイト、88件のURLと比較する。もし一致した場合には、新たにInternet Explorerのプロセスを立ち上げ、フィッシングサイトへ誘導する。
ESETの情報によると、このフィッシングサイトは見た目は金融庁のWebサイトを模しており、URLには「fas-go-jp-security」「kensatsutyo」など、金融庁や検察庁を連想させる文字列が用いられている。同社やフィッシング対策協議会が公開した画面キャプチャによれば、「国内インターネットバンキングを狙った犯罪にご注意ください!」という注意文とともに「セキュリティレベルアップのため」という文面で、認証情報や「秘密の質問」への答えを入力するよう促す作りだ。
しかしフィッシングサイトの画面をよくよく見ると、助詞の使い方がおかしかったり、「ご合言葉」という不自然な単語が用いられていたり、日本語のフォントセットに含まれない漢字が使われていたりするなど、おかしいところが散見される。以下の画像では、フォームのうち2カ所に中国語が書かれている。
そもそも、金融庁が利用者の個人情報、アカウント情報を尋ねることはあり得ない(金融機関も同様だ)。金融庁を騙るフィッシングサイトが登場するのは今回が初めてではなく、金融庁では、こうした模倣サイトや金融庁をかたったポップアップ広告への注意を呼び掛けている。
16日の時点でこのフィッシングサイトはまだ稼働中というが、フィッシング対策協議会ではJPCERTコーディネーションセンター(JPCERT/CC)に当該サイト閉鎖のための調査を依頼するとともに、ユーザーに対し、アカウント情報や個人情報を絶対に入力しないよう注意を呼び掛けている。
また根本的には、Brolux.Aに感染しないよう脆弱性を修正することが重要だ。ESETとキヤノンITソリューションズは「何よりもコンピューター上のソフトウエアを最新の状態に保つことが必要不可欠」とし、パッチを適用し、またウイルス対策ソフトウエアの定義ファイルを最新にアップデートするよう推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.