2018年/バンキングトロージャン TOP5

2018年9月27日

バンキングトロージャンはマルウェアの一種で銀行のクレデンシャルのような機密情報を盗むためによく利用されます。攻撃者は通常、ウェブサイトやデバイスに悪質なコードを挿入し、そのコードはフィッシング詐欺メールで頻繁に配信されます。 

攻撃者は検知システムを妨害するために、そのコードを優れたハッカーにより常に更新・アップグレードし、高い利益を得ようとします。こういった攻撃のテクニックは長年にわたり実行されてきましたが、詐欺者は常に新たなトリックを隠し持っているのです。以下は2018年に見られた最も強力な攻撃例です。 

1. ファイルレス・マルウェア 

今年の最も顕著な傾向の1つとして、「ファイルレス」技術の利用があげられます。 通常の攻撃では、デバイスのディスクにファイルを書き込むことでマルウェアがデバイスに挿入されます。 しかしファイルレス攻撃では、悪質なコードがデバイスのメモリに直接挿入されます。 

最近のCyxteraのリサーチャーが確認したケースでは、バンキング・トロージャンに感染させるマルウェアは、送信データの一部を保存するためにWindowsレジストリを使用していました。これによりメールファイルはデバイスのメモリから直接読み込まれ、実行することが可能となり追跡が困難となりました。 この技術はまったく新しいものではありません。しかしバンキングマルウェアへの利用は、攻撃者が検知回避の有効性を実感するにつれて、過去1年間で急速に増加しています。 

2. ゼロデイ・エクスプロイト 

ゼロデイ攻撃はサイバー犯罪者が、企業だけでなく世界中のユーザーのパッチの適用されていないOSやソフトウェアの脆弱性を悪用する攻撃です。 バンキングマルウェアのセクションでは、特に感染の最初の段階において、ゼロデイ攻撃の使用が大幅に増加しています。 たとえば、今年初めに行われた大規模なフィッシングキャンペーンでは、Microsoft Wordのゼロデイ脆弱性が悪用され、Dridex(バンキングマルウェア)が疑うことを知らないユーザーのデバイスに感染させられました。 

3.バンキングを脅かす新たなボットネットの出現 
ボットネットは有用な技術が不正に利用されている完璧な例でしょう。ボットネットの多くは無限の機能があり、非道な目的のため攻撃者が容易に修正可能であることは間違いありません。8年前のZeus型マルウェアの場合のように、バンキングマルウェアを実行する機能を備えたボットネットを見るのは決して新しいことではありません。 

しかし、2018年は、古いボットネットマルウェアの不正バンキング機能が成長しただけでなく、銀行を狙った機能やステルス技術をさらに追加した新たなボットネットが出現しました。 

4.新たに進化したマルウェア機能 
従来のバンキングマルウェアは、DNS感染、スクリーン・オーバーレイなど非常にシンプルな方法で操作されていました。昨今、セキュリティ及びデバイスの保護が強化されているため、バンキングマルウェアは引き続き同じ手法を使用しているものの、さらに高度になっています。 また、攻撃者はますます優れた機能を追加しています。 

QakBotはその代表例です。このトロイの木馬は、USBデバイスに拡散することを可能にする機能を備えています。 実際、QakBotは様々な企業のActive Directoryサーバーでロックアウトの要因となっています。 ほとんどのデバイスはセキュリティ保護が強化されているため、攻撃者は従来のバンキングマルウェア戦略を進化させ、新しい高度な機能を追加しています。 

5.モバイルマルウェア 
昨今、モバイルデバイスでのバンキングアプリケーションの利用は、残高をチェックしたり、取引・支払いの実行ができることの容易さと相関して、急速に増加しています。今日、デスクトップ環境においては先進的な保護対策がなされている場合が多いですが、それでもマルウェアは気付かれることなく感染に成功します。スマートフォン市場はまだ歴史が浅く、モバイルデバイスの保護機能は単純で、まだよく開発されていないため、マルウェアの成功率はさらに高くなります。したがって、モバイルデバイスから機密情報を盗み出すモバイルマルウェアの進化を以前にも増してみることでしょう。 

バンキングトロージャンに対する保護対策 

包括的で強固なセキュリティ計画は、組織とそのエンドユーザーがマルウェア攻撃に対して脆弱でないことを保証するための最善の方法です。 以下は保護を強化するためのヒントです。 

  1. DMARCなどのメール認証プロトコルを実装し、不正メール(バンキングトロージャンマルウェアを含んでいる可能性のある)が受信ボックスに届かないことを保証します。 
  2. 効果的なエンドポイント及びブラウザの検知・保護対策を実装します。 
  3. システムとデバイスを常に最新の状態に保ちます。 デバイスの種類に関わらず、全てのオペレーティングシステム、ソフトウェア、およびアプリケーションを更新することで、既知の脆弱性が悪用されるのを防ぐことが可能です。 
  4. 全てに二要素認証を導入します。最大の悪夢の1つは、データ漏洩です。  漏洩したアカウントへの不正アクセスを防ぐ良い方法は、二要素認証を有効にすること です。 つまり、クレデンシャル情報がインターネット上で入手可能であっても、最終的な認証を行うデバイスにアクセスできなければ、アカウントにアクセスすることは誰にもできません。 

バンキングトロージャンなどの不正マルウェアの保護対策についてはこちら 

by Gustavo Palazolo Eiras
Gustabo PalazoloはCyxteraのマルウェアリサーチャーです。

Gustavo Palazolo Eiras

by Joseph Silva
Joseph Silvaはデータ侵害調査、インシデント対応、リバースエンジニアリング、マルウェア分析、フォレンジック調査を専門としています

Joseph Silva

AppGate SDPについての詳細はこちら

Cyxtera Technologies, Inc. All rights reserved    I    Privacy Policy    I    Legal Terms