金融機関を狙うトロイの木馬 Dyre は、この 1 年間で、現行の金融詐欺ツールとしては最も有力な存在となってきました。Dyre は顧客から金銭を詐取するように設計されており、その対象は全世界で 1,000 を超える銀行その他の企業に及んでいます。標的となった銀行が最も多く集中していることから、英語圏、特に米国と英国の消費者は特に危険が高く、注意が必要です。
Gameover Zeus、Shylock、Ramnit といった主な金融マルウェアがあいついで活動停止に追い込まれて以来、これらのグループによる脅威が減り、Dyre がその後を継ぐように一般ユーザーを狙う大きい脅威になってきました。
Dyre は、シマンテックによって Infostealer.Dyre として検出されます。Windows コンピュータを標的とし、3 大ブラウザ(Internet Explorer、Chrome、Firefox)のすべてに攻撃を仕掛けて銀行口座などの資格情報を盗み出すことができます。
Dyre は 2 つの攻撃機能を持つ脅威です。資格情報を盗み出すほかにも、標的を他のマルウェアに感染させ、たとえばスパムボットネットに組み入れたりします。
成長の年
シマンテックセキュリティレスポンスが 6 月 23 日に発行した最新のホワイトペーパーでも概略がまとめられているように、Dyre の感染件数が急増し始めたのは 1 年前のことです。Dyre の裏に潜む攻撃者は着実にその機能改良を続け、支援インフラストラクチャまで構築しています。
図 1. Dyre 検出数の推移
感染の拡大
Dyre は主としてスパムメールを通じて拡散し、メールはほとんどの場合、ビジネス文書、音声メール、FAX メッセージに偽装しています。被害者がメールの添付ファイルをクリックすると、悪質な Web サイトにリダイレクトされ、そこで Upatre ダウンローダ(シマンテックは Downloader.Upatre として検出)がコンピュータ上にインストールされます。
Upatre は、金融詐欺グループが頻繁に使う調査/ダウンローダツールのひとつで、Gameover Zeus や Cryptolocker の犯人グループにも利用されていました。Upatre は、被害者のコンピュータ上で足がかりとして機能します。そのコンピュータに関する情報を収集し、セキュリティソフトウェアの無効化を試みて、最終的にはトロイの木馬 Dyre をインストールします。
資格情報の窃盗
Dyre には、被害者の Web ブラウザに対して何種類かのマンインザブラウザ(MITB)攻撃を仕掛け、資格情報を盗み出す機能があります。ある MITB 攻撃では、ユーザーが訪問したすべての Web ページをスキャンし、攻撃対象としてあらかじめ Dyre に設定されているサイトのリストと照合します。サイトの一致が見つかると、正規のサイトによく似た偽の Web サイトに被害者をリダイレクトします。偽サイトは、被害者の資格情報を確保したうえで、再度リダイレクトして正規のサイトに被害者を戻します。
2 つ目の MITB 攻撃は、悪質なコードを追加することによって、ブラウザウィンドウで正規の Web サイトの表示を改変し、被害者のログイン情報を盗み出します。また、さらに別の偽ページを表示するケースもあります。コンピュータが認識されなかったというメッセージを表示して、身元を確認するために生年月日、暗証番号、クレジットカード情報といった資格情報を入力する必要があると告げるのです。
他の脅威へのゲートウェイ
Dyre は、被害者のコンピュータをさらに別のマルウェアに感染させる目的にも利用されます。シマンテックは現在までに、感染したコンピュータに送りこまれるマルウェアとして 7 つのグループを確認しました。多くの場合、被害者のコンピュータはボットネットに組み込まれ、新たなスパム活動に利用されたり、被害者への感染を広げたりするために悪用されてしまいます。
Dyre の裏に潜む攻撃者
Dyre の攻撃が最も盛んになる時刻をもとに、シマンテックはこのグループが東ヨーロッパまたはロシアを拠点にしていると考えています。グループのコマンド & コントロール(C&C)サーバーインフラストラクチャは、大部分がこれらの地域にありますが、同地域で感染の件数はそれほど多くありません。おそらくこのグループは、拠点に近い標的を避けることで、目立たないようにしようと試みているのでしょう。
保護対策
シマンテック製品とノートン製品は、これらの脅威を以下の定義で検出します。
トロイの木馬 Dyre によって拡散される他の脅威は、以下の定義で検出されます。
対処の方針
- このマルウェアのどんな亜種が出現しても身を守れるように、セキュリティソフトウェアは常に最新の状態に保ちます。
- オペレーティングシステムや他のソフトウェアも忘れずにアップデートしてください。多くの場合、ソフトウェア更新には、新しく発見され、悪用の恐れがあるセキュリティ脆弱性に対するパッチが含まれているからです。
- オンラインバンキングの取引を行う際には用心し、特に銀行の Web サイトで動作や表示が変わっていないかどうか確かめます。
参考資料
Dyre による感染の指標や詳しい解析について詳しくは、ホワイトペーパー『Dyre: Emerging threat on financial fraud landscape』(英語版)をお読みください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】