Zeus、SpyEyeに続く第三のトロイ「Citadel」がさらに巧妙化:RSAがマンスリーレポート公開、仮想マシンを使った「Gozi Prinimalka」にも警告
EMCジャパン RSA事業本部は10月30日、2012年9月のオンライン詐欺の動向をまとめた「Monthly AFCC News Vol.63」を公開。「Citadel」や「Gozi Prinimalka」に注意を促した。
EMCジャパン RSA事業本部は10月30日、2012年9月のオンライン詐欺の動向をまとめた「Monthly AFCC News Vol.63」を公開した。同社のフィッシングサイト閉鎖サービス「RSA FraudAction」の中核であるAFCC(Anti-Fraud Command Center)で収集した情報を基に、フィッシング攻撃やマルウェアの傾向をまとめたレポートだ。
これによると、2012年9月に全世界で発生したフィッシング攻撃の回数は、欧州の金融機関を狙った攻撃が減少した影響で大幅減が続いたという。一方、日本国内でホストされたフィッシングサイト数は109件で、2012年4〜6月のピークにこそ達しないものの、8月以降増加基調にあることも確認された。
同社はまた今回のレポートの中で、「Zeus」「SpyEye」に続く新たなトロイの木馬「Citadel」に注意を呼びかけている。CitadelはZeusを基に2012年1月に開発された、比較的新しいマルウェアだ。ボットネットを構成し、C&Cサーバからの指令に従ってユーザーの挙動、特にオンラインバンクにアクセスした際の挙動を監視したり、中間者攻撃によって不正なコードを実行させたり(インジェクション)する。
Citadelは比較的新しいだけあって、セキュリティ企業による調査、対策を防ぐために、自分自身の動作を巧妙に隠す機能を備えているほか、企業向けの商用ソフトウェアのように管理権限の一部を委譲できるようにもなっているという。さらに、ボット管理者が、指定したボットのみに新しい設定ファイルを適用できる「ダイナミック・コンフィグ」という機能を実装するなど、「リリース以来進化を重ね、ボットの制御やなりすまし手法の巧妙化によって、さらに洗練度を高めている」(同社)
同時に、米国の銀行30行に対して攻撃を仕掛けようとする「Gozi Prinimalka」についても注意を喚起した。Gozi Prinimalkaは、仮想マシンを使った同期機構を用いたトロイの木馬だ。Cookieを含む感染者の端末設定情報を収集し、ボット管理者の手元に、被害者の環境を複製した仮想実行環境を再現する。この仮想環境をSOCKSプロキシ経由で被害者の端末に接続し、被害者本人のIPアドレスを用いて金融機関などのサイトにアクセスすれば、なりすましによって金銭的被害が生じても見破るのは難しい。仮に銀行が異常な出金に気付いて確認の電話やメッセージを送ろうとしても、VoIP電話詐欺ソフトウェアを併用することで、それを妨げることが可能という。
同社はこれを踏まえ、二要素認証の重要性を訴えるとともに、オンラインと電話、いずれのチャネルについても送金手続きを見直すことを推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.