SCAN DISPATCH ：オンラインバンキングのキー入力を複製するトロイの木馬が流行

オンラインバンキングを用意している銀行は、多数のセキュリティ対策を講じて悪意のある攻撃を阻止している。が、顧客がログインして送金するキーストロークをそのまま複製することによって、そのセキュリティを回避するトロイの木馬である「Prg Banking Trojan」が流行している。このトロイの木馬を発見したのはSecureWorks社のシニアリサーチャーDon Jackson氏。同氏によれば、2007年11月末からの攻撃で推定2,600万円を米国の銀行の顧客から盗まれており、英国でも同様の被害が推定されている。全体で1億3000万円以上の被害になるだろうと見積もられている。

このトロイの木馬は、今年の夏に流行した「Prg Trojan」と言われるトロイの木馬の新しいバージョンだ。SecureWorks社は、Prgの設定ファイルと使用されているフィッシングメール、トロイの木馬が盗んだデータのキャッシュをこれまでに発見している。ロシアのUpLevelというグループと、ドイツのグループによる共同犯行であることが分かっており、これまでにモスクワと、インドのデュバイにあるデータ・センターをベースに、米国・英国・スペイン、そしてイタリアの銀行の顧客をターゲットにしていたらしい。

Prg Trojanの攻撃方法は、まず、リンクをクリックするとiFrameを使用してユーザのPCをPrg Trojanに感染させるフィッシングメールを送ったり、感染した正規ウエブサイトや広告などでユーザのPCをPrg Trojanに感染させる。

SecureWorks社によると、これは少し前に被害の出た求人サイトへのハッキングで情報を収集しているそうで、このトロイの木馬のバージョンだけでもこれまでに5万人以上の被害者の国民保険番号やクレジット・カード番号などの個人情報を盗難している。

Prg Trojanは一度ユーザのPCに潜入すると、ユーザがブラウザにインプットする情報を収集してPrg Trojanのサーバーに送るようになる。犯人たちは次に、こうして集まった情報から銀行にビジネス・アカウントを持つユーザを選び出して、それぞれのユーザの氏名、銀行名、アカウントなどの情報を入れて本物のように見せかけたフィッシュング・メールを送る。このメールには、新しいセキュリティコードやクライアント証明書を、偽りの銀行サイトからダウンロードする指示が入っている。このセキュリティ・コードがPrg Banking Trojanなのだ。

一度Prg Banking Tojoanがインストールされると、まずトロイの木馬のコントロール・センターに「インストール完了、次の指令を待つ」というメッセージを送り、コントロールセンターは、ユーザが使っている銀行に、カスタマイズされた新しいコードを送りつける。

ユーザが銀行のウエブサイトを訪れると、Peg Banking Trojanは再び「ユーザがオンラインバンキング利用中」というメッセージを犯人に送るので、犯人たちはユーザの正規なセッションに相乗りできる。先に送られたコードは、ユーザの銀行のオンラインバンキングの手順を調査して作られており、送金や公共料金の支払いなどの手順をそのままユーザのクリックとキーストロークとして複製する。そのため、銀行側のセキュリティ対策に気が付かれることなく、犯人が予め用意した銀行口座に送金を行うことができるのだ。Prg Banking Trojanの恐さはここにある。つまり、実際に人間であるユーザが行うのと同じような手順をふんだ自然な行為なので、検出が難しいのだ。

SecureWorks社はシークレットサービスにも通知済みで、この攻撃を防ぐ協力をしているそうだ。

残念なことに、顧客のPCが感染して起こった不正行為は顧客の責任であり、盗まれた金額を取り戻すのは難しい。今では携帯でもオンラインバンキングができるようになっているが、これだけ洗練された攻撃を目の当たりにすると、いくらセキュリティ手段を講じても恐いものだ。

【執筆：米国　笠原利香】

SecureWorks社
http://www.secureworks.com/