銀行の口座情報を窃取し、不正送金を行うトロイの木馬(バンキング型トロイの木馬)は、完全犯罪を企むサイバー攻撃者にとって最適なツールです。セキュリティに疎い無防備なターゲットの口座から、追跡困難な形で預金を盗み出せるため、身元を特定される心配がほとんどありません。その利便性から広く使用されている同マルウェアは、2016年6月から12月にかけてのマルウェア検出数において、第1位のランサムウェアに次ぐ僅差の2位にランクインしていました。アジア太平洋地域に限れば、ランサムウェアをはるかに上回る攻撃件数を記録しています。本記事では、バンキング型トロイの木馬を利用した攻撃の仕組みと、不正送金被害を防ぐための対策について解説します。

バンキング型トロイの木馬の大きな特徴は、数あるマルウェア・タイプの中でも、特にステルス性が高い点です。PCのファイル・システムやWebブラウザに感染したバンキング型トロイの木馬は、一時的な休眠状態に入り、ユーザがオンライン・バンキング・サイトにアクセスするまで待機します。その後、バンキング・サイトへのアクセスが発生した時点で、キーロガーにより口座のユーザ名とパスワードを窃取し、攻撃者に向けて密かにその情報を送信します。攻撃者は、その情報を使用してユーザの口座にログインし、預金を別の口座に送金しますが、追跡の手を逃れるため、複数の「運び屋」口座を介して取引を複雑化します。

Webブラウザに感染するバンキング型トロイの木馬

多くのトロイの木馬は、Webインジェクションやリダイレクトを駆使した高度な中間者(MiB)攻撃を実行します。ユーザが使用しているWebブラウザ上の表示をリアルタイムで微妙に改変し、あたかも通常どおり取引が行われているように見せかけながら、その裏で不正送金を実行するのです。このほか、ログイン情報の再入力を促す偽の警告メッセージを表示する、ログイン状態を維持したまま偽のログアウト・ページを表示する、などの手口も使われます。いずれの方法も、トロイの木馬の活動をできるだけ長い間ユーザの目からそらし、継続的に不正送金を行うことを目的としています。

チェック・ポイントの『2016 H2 Global Threat Intelligence Trends』レポートでは、2016年下半期に世界レベルで最も多く検出されたバンキング型トロイの木馬として、次の名前が挙げられています。

  1. Zeus – Windowsプラットフォームに感染します。多くの場合「Man-in-the-Browser」攻撃やキー入力内容の記録、フォーム入力内容の取得により、金融機関情報を盗み出す目的で使用されます。
  2. Tinba – ユーザが銀行のWebサイトにログインしようとしたタイミングで活動を開始し、Webインジェクションによりユーザの認証情報を窃取します。
  3. Ramnit – 銀行の認証情報やFTPのパスワード、セッションcookie、個人情報を窃取します。

ここに挙げたZeus、Tinba、Ramnitはいずれも、2016年を通じて延々とチェック・ポイントのマルウェア・トップ20に留まり、グローバル・ランキングのトップ10にそろってランクインすることも珍しくありませんでした。

モバイル・バンキングを狙う 巧妙な攻撃

モバイル・デバイスを標的とするバンキング型トロイの木馬も進化を遂げています。その手口は、ユーザがモバイル・デバイスでバンキング・アプリを起動したときに偽のオーバーレイ画面を表示するというタイプが一般的です。この画面はバンキング・アプリのログイン画面と見た目はまったく同じで、ユーザにログイン情報を入力させたり、オンライン銀行からのSMSメッセージを傍受したりして、モバイル・バンキングの認証情報を窃取します。

では、バンキング型トロイの木馬の脅威が増大する中、その被害に遭わないようにするためには、どうすればよいのでしょうか。チェック・ポイントでは、先ごろ、欧州刑事警察機構のEuropean Cybercrime Centre(EC3)と共同で、『Banking Trojans: from Stone Age to Space Era』と題する、バンキング型トロイの木馬についての詳細なレポートを作成しました。このレポートでは、バンキング型トロイの木馬がその黎明期から今日に至るまで、どのような進化を遂げてきたのか、そして攻撃者がバンキング型トロイの木馬をどのように利用し、窃取した預金をロンダリングしているのかを解説しています。

さしあたっては、すべてのユーザに対し、次に示す対策の実施を強く推奨します。

  • 常に警戒する – 電子メールは、信頼できる人物から送られてきたように見えても、安易に開かないようにします。また、Microsoft Officeファイルのマクロを実行しないよう注意してください。
  • 最新の包括的なセキュリティ・ソリューションを導入する – 多様なマルウェアや攻撃手法に対応できる高度なセキュリティ・ソリューションを導入します。例えばCheck Point Sandblast Zero-Day Protectionなら、バンキング型トロイの木馬を効率よく検出してブロックできるほか、スパムやフィッシング攻撃で送られてくるファイルから不正なコンテンツを除去できます。
  • 銀行など金融サービス・サイトのいつもと違う振る舞いに注意する – ログイン・フィールドが増えている(特に、銀行とは関係のない個人情報を要求してくる場合)、ログイン・ページのデザインがいつもと異なるなど、サイトの微妙な変化に注意します。
  • モバイル・アプリ(特にバンキング・アプリ)は、Google PlayやApple App Storeなど信頼できる既知のストアから入手する – この対策を徹底しても、不正なアプリを完全に避けられるわけではありませんが、そのリスクを最小限に抑えることができます。
  • 特に重要なファイルをバックアップする – 重要なファイルを外付けデバイスやクラウド・ストレージ・サービスにコピーしておきます。最近のバンキング型トロイの木馬は、情報を窃取した後に別のマルウェアをインストールするケースが少なくありません。この際、ランサムウェアによりファイルを暗号化され身代金を要求される場合がありますので、バックアップで備えます。

以上の対策を実施すれば、攻撃の成功率を低下させ、バンキング型トロイの木馬の利用を割の合わない犯罪とすることができます。