Endpoint Protection

Dridex の取り締まりで、ボットネット感染をシンクホールに捕捉 

10-15-2015 01:36 AM

lead image.jpg

国際的な法執行機関が Dridex ボットネットに対する取り締まりを強化した結果、1 人の男が告発されました。また、ボットネットによる制御から遮断すべく、危殆化した数千台のコンピュータをシンクホールに捕捉する協力態勢も整いました。この捜査は、米国の FBI英国の国家犯罪対策庁をはじめ、世界各国の捜査当局が参加したもので、全世界の被害者から何千万ドルという金銭を盗み出してきたサイバー犯罪者の不正行為に大きく歯止めをかけたと見られています。

金融機関を狙う深刻な脅威
Dridex(シマンテックでは W32.Cridex として検出されます)は、Bugat とも呼ばれており、金融機関を狙う脅威です。感染したコンピュータをボットネットに追加し、被害者の Web ブラウザに自身をインジェクトして、オンラインバンキング情報などの情報を盗み出します。

Dridex はフィッシングメールを通じて拡散するのが一般的で、メールは正規のソースから送信されたように見せかけています。被害者を欺いて悪質な添付ファイルを開かせるためです。また、マッピングされたネットワークドライブや、USB ドライブなどのローカルストレージに自身をコピーして自己複製する機能も持っています。金融機関を狙うほとんどの攻撃者と同様、Dridex のグループは定期的に戦術を変えており、ごく最近ではメールに添付した Microsoft Office 文書に悪質なマクロを仕込んで被害者に感染することが確認されました。

シマンテックのホワイトペーパー「State of financial Trojans 2014(金融機関を狙うトロイの木馬の概況 2014 版)」(英語)でも報告されているように、Dridex は金融機関を狙うトロイの木馬として昨年確認されたなかでは 3 番目に大きい規模であり、29,000 件の検出が報告されています。それでも、これは減少した後の結果であり、2012 年との比較で感染件数は 88% も減ったのです。

最近の遠隔測定によると、Dridex の活動は再び活発になっており、過去数カ月で検出数が増加しています。

Fig1_28.png
図 1. 2015 年の Dridex 検出件数

Dridex の背後に潜む攻撃者が標的にしてきた国は、広範囲に及んでいます。2015 年に検出数が最も多かったのは米国です。日本とドイツがそれに続き、英国、カナダ、オーストラリアをはじめヨーロッパの各国でもかなりの感染数が報告されています。

Fig2_19.png
図 2. 2015 年、Dridex 感染件数の上位 10 カ国

法執行機関の急襲
昨日実施された捜査の結果、30 歳のモルドバ人男性が共同謀議、詐取を意図した不正なコンピュータアクセス、コンピュータの破損、電子詐欺、オンラインバンキング詐欺などの容疑で告発されました。この男性は 8 月にキプロスで逮捕されており、現在は米国への引き渡し手続きが進められているところです。

FBI は、Dridex による感染をシンクホールに捕捉する対策を許可する命令も取り付けました。感染したコンピュータからコマンド & コントロール(C&C)サーバーへ向かうトラフィックを、安全な代替サーバーにリダイレクトするということです。このシンクホール対策は、英国の国家犯罪対策庁にも承認されています。

今回の摘発は、金融詐欺を繰り返す大規模なサイバー犯罪集団に対して実施した一連の取り締まりの一環です。これまでに、Gameover ZeusShylockRamnit が摘発されています。

保護対策
シマンテック製品とノートン製品には、Dridex に対して次の保護対策があります。

ウイルス対策

侵入防止システム:

対処方法

  • Symantec Endpoint Protectionノートン セキュリティなどの確実なセキュリティスイートを使い、最新の状態に保つ。
  • 疑わしいメール、特にリンクが記載されていたり、ファイルが添付されていたりするメールを受信した場合には削除する。開封すらせず、すぐに削除してください。正規の組織から送信されたことになっている場合には、まずその組織を確認しましょう。
  • 文書を開いたときにマクロが実行されないように、Microsoft Office アプリケーションでマクロを無効にする
  • メールセキュリティソリューションを使い、悪質なメールや悪質な添付ファイルを誤って開いてしまう危険を減らす。
  • Dridex に感染したと疑われる場合には、別のコンピュータを使ってオンラインバンキングのアカウントパスワードをただちに変更し、不正な取引に利用されないように銀行に連絡する。その他のアカウントも、感染したコンピュータを使って利用した可能性があれば、同じように対策してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.