史上最悪の銀行強盗は、2005 年にブラジルで起きたものです。この事件で、銀行強盗団は鋼鉄と強化コンクリートでできた厚さ 1.1m もの壁に穴を開け、紙幣が保管されている 3.5 トンものコンテナを運び出しました。このとき、約 1 億 6,000 万ブラジルドル(3 億 8,000 万米ドル相当)が盗み出されています。
一方、最近の強盗は壁に穴を開けたりせずに金銭を盗み出します。自宅でコンピュータの前でくつろぎながら銀行を襲えるのです。サイバー犯罪によって、企業は百万ドル単位の財政的な損害を被っています。シマンテックのホワイトペーパー「State of Financial Trojans 2013(金融機関を狙うトロイの木馬の 2013 年における概況)」(英語)でも、オンラインバンキングを狙うトロイの木馬の急増が指摘されています。Zeus や Spyeye などの一般的なマルウェアを別にすると、サイバー犯罪者がオンラインバンキングを狙って最近よく使っているのは、Tiylon というマルウェアです。このトロイの木馬は、MITB(Man-in-the-Browser)攻撃を使って、オンラインバンキングサイトでユーザー認証とトランザクション承認を傍受します。
標的型攻撃による最初の感染
Tiylon は、スパム対策フィルタをすり抜けるために、短い電子メールの添付ファイルとして送られてくるのが普通です。オンラインバンキングを狙うトロイの木馬(Zeus など)を使う大部分のスパム攻撃と異なり、Tiylon の電子メールは標的型攻撃の一部となっています。シマンテックの遠隔測定によると、この攻撃では世界のいくつかの地域でオンラインバンキングユーザーが狙われていますが、特に英国、米国、イタリア、オーストラリア、日本に攻撃が集中しています(図 2)。
図 1. 悪質なファイルが添付されている Tiylon の電子メール
この脅威は、ダウンローダ、メインコンポーネントファイル、設定ファイルという 3 種類のファイルで構成されています。
ダウンローダファイル
ダウンローダはロードポイントとして機能し、メインコンポーネントファイルをインストールする機能を持ちます。ダウンローダが実行されると、コンピュータのシリアル番号からシステム情報が構成され、攻撃者が用意したコマンド & コントロール(C&C)サーバーへの接続が確立されます。接続が確立すると、以下のレジストリキーが作成されます。
- Windows XP の場合:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\“WwYNcov” = “%System%\WwYNcov.exe”
- Windows 7 の場合:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{905CC2F7-082A-4D1D-B76B-92A2FC7341F6}\“Path” = “\\xxUxqdT”
ダウンローダは次に、explorer.exe と svchost.exe にコードをインジェクトし、悪質な活動を開始します。
メインコンポーネントファイル
メインコンポーネントファイルは、Tiylon のダウンローダファイルによってダウンロードされ、復号されます。このコンポーネントは、C&C サーバーから設定ファイルを収集して、攻撃のパラメータを指定します。また、レジストリ設定を操作してコンピュータとブラウザのセキュリティを低下させる機能も備えています。また、これはユーザーと金融機関の Web サイトとの通信を傍受するコンポーネントでもあります。
主として以下のような機能を持っています。
- Web インジェクション攻撃を実行する
- キーストロークを記録する
- スクリーンショットを取得する
- FTP サーバーと RDP サーバーを起動する
- リモートデスクトッププロトコル(RDP)を開始する
- 証明書を読み取る
- ファイルをダウンロードして実行する
- サービスを作成する
- オペレーティングシステムの API をフックしてネットワークデータを盗み出す
- 他のプロセスにコードをインジェクトする
- ログオフして再起動するか、侵入先のコンピュータをシャットダウンする
- Web ブラウザに対してプロセスインジェクションを実行する
Tiylon は、インストールされているアプリケーションとディレクトリを調べて検出をすり抜けようと試みます。また、コンピュータが仮想マシンかどうかを判定するために、プロセスリストも確認します。C&C サーバーは、悪質な活動を検出できる環境を見つけると、そのコンピュータの IP アドレスを使用禁止扱いとして、他のユーザーへの感染を試みます。検出をすり抜ける確率を高くするために、シマンテック製以外のウイルス対策ソフトウェアに対して強制的に例外を設定する場合もあります。マルウェアのコード自体が不明瞭化されており、複数のパッケージングサイクルがあることからも、解析が困難になっています。
攻撃の発生期間
Tiylon の攻撃が起きたのは、2012 年 1 月 1 日から 2013 年 10 月 1 日の間です。
表 1. Tiylon による攻撃の国別の件数
図 2. Tiylon による攻撃の件数を国別に示したアニメーション
シマンテック製品をお使いのお客様は、以下のウイルス対策定義と IPS 検出定義で Tiylon の攻撃から保護されています。
ウイルス対策:
IPS:
脅威から保護するために、最新のソフトウェアパッチと検出定義を適用することをお勧めします。今回の Tiylon の場合は特に、お使いの電子メールクライアントに対応したスパム対策ソリューションをインストールし、疑わしい添付ファイルは開かないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。