Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

オンラインバンキングの口座情報盗み出す「Citadel」 - 国内で2万台以上が感染

オンラインバンキングにおいて口座情報を窃取する「Citadel」の感染被害が国内で広がっている。トレンドマイクロによると、感染端末は2万台以上にのぼるという。

「Citadel」は、Zeusを元に開発されたボットプログラム。オンラインバンキングのアカウント情報を盗み出すために利用されており、海外において500万台以上に感染、90カ国以上において5億ドル以上の被害をもたらした。

こうした状況を打破すべくMicrosoftやFS-ISAC、A10 Network、FBIなどが協力し、作戦「Operation b54」を展開し、6月5日に大規模なテイクダウンに成功している。

しかし、日本IBMのTokyo SOCによれば同作戦後、国内の感染端末から米国のC&Cサーバに対する通信は減少傾向が見られたものの、ブラジルやトリニダードトバゴなどの他国との通信は増加しており、国内の感染端末には影響は見られなかった。

今回感染を感染したトレンドマイクロでは、欧米圏のIPアドレスを9個を利用するコマンド&コントロールサーバを特定。

これらIPに対する通信の96%以上が日本国内を発信元としており、いずれも感染端末からの通信と見られている。7月16日から21日までにC&Cサーバへアクセスした件数は、IPアドレスベースで2万件にのぼるという。

国内の6金融機関をターゲットとし、あきらかに日本国内のユーザーを標的としており、「Gmail」や」「Yahoo!メール」などウェブメールサービスからも情報を詐取していた。トレンドマイクロでは、利用する金融機関の注意喚起を確認するなど、被害に遭わないよう注意を呼びかけた。

6月は国内において、金融機関を狙ったフィッシングサイトの報告が減少しており、フィッシング対策の専門機関からは、「Zeus」「Citadel」などへ攻撃が移行しているのではないかとの憶測も出ている。

(Security NEXT - 2013/07/23 ) このエントリーをはてなブックマークに追加

PR

関連記事

ボットネット「Cutwail」、日本狙うメール攻撃に新展開 - 画像に命令埋め込む「ステガノグラフィ」を悪用
日本語メールで不正「iqyファイル」が大量流通 - 国内IPでのみ感染活動を展開
カスペルスキーのサイバー脅威マップが日本語対応
複数「WebLogic Server」脆弱性、早くも悪用や実証コード
フィッシング対策や脆弱性公開に尽力した専門家に感謝状 - JPCERT/CC
1週間に2400件超のサイト改ざん - 詐欺サイト誘導の踏み台に
米政府、北朝鮮攻撃グループが悪用したマルウェア「Joanap」「Brambul」の情報を公開
「Drupal」脆弱性で感染を拡大するボット「Muhstik」見つかる
【特別企画】セキュアなIoT活用の重要性が問われる時代に - 安田浩氏
マルウェア亜種の減少傾向続く - マルウェアメールの割合は上昇