Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

韓国で流行した新手の不正送金マルウェアが国内上陸 - 不正送金被害も

日本サイバー犯罪対策センター(JC3)は、オンラインバンキングへアクセスした際に、中継サーバを利用して認証情報を盗むマルウェア「KRBanker」による不正送金が発生しているとして注意を呼びかけた。

20161005_jc_001.jpg
JC3による注意喚起

同マルウェアは、別名「Blackmoon」としても知られるマルウェア。オンラインバンキングへアクセスする際に、気が付かれないよう中継サーバを経由させることで、中継サーバ上で情報を盗みだす「ファーミング」を行っていた。当初は「hostsファイル」の改ざんによるDNSの書き換えを行っていたが、最近では「プロキシ自動設定(PAC)」を活用している。

少なくとも2014年初頭より活動を開始していると見られるが、動きが活発になったのは2016年に入ってから。これまではおもに韓国の金融機関を対象に活動を展開している。

Fortinetの調査では、4月の時点で感染件数は11万件にのぼり、そのうち10万9000弱が韓国での感染だった。エクスプロイトキット「KaiXin EK」やアドウェア経由で感染が広がったと見られている。

またPalo Alto Networksによれば、2015年末から5月までの半年で2000弱の亜種を捕捉。中継に用いたファーミング用のIPアドレスを200ほど確認した。「KRBanker」には中国のSNSサイトへアクセスする機能を備えており、そこからIPアドレスを入手している。

20161005_tm_001.jpg
国内における検知状況(グラフ:トレンドマイクロ)

国内で目立った活動が確認されたのは7月末。トレンドマイクロによると、8月中旬の時点で検知数は300件にのぼり、改ざんされた正規サイト経由で拡散しているという。

国内8金融機関のほか、4種類の検索エンジンや社団法人のドメインがファーミングの対象となっており、検索エンジンの利用時には、「金融監督庁」などと称してポップアップを表示。注意喚起に見せかけてファーミング対象のオンラインバンキングへ誘導し、アカウント情報を入力させようとしていた。

中継サーバとHTTPにより通信を行うため暗号化通信が行われず、注意を払っていれば利用者が異常に気が付く可能性もあるが、偽サイトへ誘導するフィッシングと異なり、アドレスバーにはオンラインバンキングの正規URLが表示されるため、見過ごしてしまうおそれもある。

すでに警察庁では同マルウェアを原因とした不正送金を確認しており、セキュリティベンダーやJC3では注意を呼びかけている。

(Security NEXT - 2016/10/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

企業の約8割が「BEC」を経験 - 件名に「Re:」「Fwd:」追加が1.5倍
2018年1Qの不正送金被害は1.8億円 -被害額は個人で倍増、法人は54分の1に
不正アクセス事件の検挙件数が前年比3割増 - 被疑者は10代、動機は「好奇心」が最多
2017年4Q、不正送金マルウェアが1.6倍に - 年初の70倍
2017年4Qの不正送金被害は1.7億円 - 法人で被害額が増加傾向
2017年3Qのネットバンク不正送金、法人で被害額が増加
不正サイトのマルウェア拡散、「仮想通貨採掘ツール」にシフト - 相場高騰が後押しか
2017年2Qのネット銀不正送金、被害額ベースで法人個人ともに増加
2017年上半期のサイバー犯罪検挙数は4209件 - 仮想通貨の不正送金被害も
ネットバンキングの不正送金、2016年は1291件で16.8億円の被害