寄稿者: Peter Coogan
ブラウザベースの中間者(MITM)攻撃を実行するオンラインバンキングのトロイの木馬が、再び深刻な問題になっています。Trojan.Shylock は、偽のデジタル証明書を利用し、ネットワークトラフィックを傍受して銀行の Web サイトにコードをインジェクトする巧妙なマルウェアです。騙されたユーザーは、ログイン情報と口座の詳細情報をサイバー犯罪者に渡してしまいます。このトロイの木馬に最近、ユーザー情報を盗む新しい仕掛けが追加されました。
今年の 2 月に、Trusteer の公式ブログにもあるとおり、疑いを持たない被害者に Web ベースのチャット画面を表示する JavaScript が Trojan.Shylock によりインジェクトされているのが見つかりました。ハッカーはチャット画面を制御して、ログイン情報など口座のアクセスに必要な情報を被害者に問い合わせていました。
シマンテックは今回新たに、更新された構成情報が含まれた Trojan.Shylock を検出しました。この構成ファイルを使用して、攻撃者の電話番号をオンラインバンキングサイトの連絡先ページに設定する JavaScript がインジェクトされます。ユーザーがエラーに遭ったり、疑問に思ったりした場合に、銀行の本物の連絡先番号の代わりに偽の番号にかけることを狙っています。
攻撃者が使用している番号は、簡単にオンラインで作成できる使い捨ての番号です。ユーザーが、インジェクトされた偽の番号に電話をかけると、電話番号が変更されたため 08444101010 におかけ直しくださいというアナウンスが流れます。私たちが何回かこの新しい番号にかけてみましたが、応答はありませんでした。攻撃者の真意は明らかではありませんが、シマンテックでは、電話応答により機密のログイン情報を細かく聞き出そうとしているか、または口座に問題があることを銀行に通知させないようにして何らかの活動を行うための時間を稼いでいる、のいずれかであると推測しています。
次のコードは、構成ファイル内に含まれ、銀行の Web サイトにインジェクトされた未加工の HTML の例です。
このインジェクションコードを見てもわかるように、攻撃者は、銀行口座に関連した質問でユーザーを欺こうとしています。
収集した構成情報から、Trojan.Shylock はイギリスのオンラインバンキングサイトを集中的に標的としていることがわかっています。さらに、次の Trojan.Shylock の分布図が示すように、シマンテックによるこのマルウェアの遠距離測定も、この事実を裏付けています。
確実に保護する最もよい方法として、最新のシマンテック技術および最新のウイルス対策定義ファイルをご利用になることをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。