トロイの木馬 Dridex は、過去 1 年間に出現したなかで最も危険な金融系マルウェアです。スパムを大量に送信して、その Dridex が猛威をふるっています。Dridex(シマンテックでは W32.Cridex として検出されます)を拡散しているスパムの活動規模は膨大で、攻撃されればかなり深刻な被害を受けかねません。
シマンテックが最近の Dridex スパムを分析したところ、送信されるメールが 1 日あたり数百万通に達するという大規模な活動が展開されていることが判明しました。Dridex を操る攻撃者は訓練を受けたプロフェッショナルです。標準的な労働時間で働き、マルウェアを継続的に改良して、スパムを正規のメールのように偽装することに全力をあげています。
スパム活動 2 月 16 日付で公開されたシマンテックの新しいホワイトペーパーでも詳しくお伝えしているように、Dridex のスパム攻撃は、サンプルをとった 10 週間で少なくとも 145 回確認されました。シマンテックで遮断されたメールは、1 回の攻撃あたり平均 271,019 通で、毎日送信されるメールの総数は数百万通に及ぶことになります。
Dridex スパムのほぼ 4 分の 3(74%)で、差出人のアドレスと、メール本文でもしばしば、実在の企業名が使われています。また、スパムの大半が、請求書や領収書、発注書など金融系のメールに偽装しています。英語圏のユーザーが重点的に狙われており、名前が騙られている企業も、大部分が英語圏の企業です。
被害者 Dridex の主な目的は、オンラインバンキングの情報を盗み出すことです。40 以上の国や地域の 300 社近い企業の顧客を標的とするように設定されています。
英語圏の先進国で金融機関の顧客が重点的に狙われており、狙われる企業が集中しているのも英語圏の国です。それ以外のヨーロッパ諸国と、アジア太平洋地域でも被害が出ています。
流行度 シマンテックが検出した Dridex の感染数は、2015 年の 1 年間で増加しました。1 月から 4 月までは月間 2,000 件未満でしたが、翌 5 月に急増して 6 月にはほぼ 16,000 件に達し、第 4 四半期には 3,000 から 5,000 の範囲で推移しています。
図 1. 2015 年に検出された Dridex の感染数
2015 年、Dridex への感染は広い範囲で検出されましたが、感染数が特に多かったのは米国、英国、オーストラリアなど英語圏の国です。これは、英語圏の多数の銀行を攻撃するよう設定されているためですが、Dridex を拡散する英語のスパムが増えていることも原因になっています。フランス、ドイツ、オーストリア、スイスといったヨーロッパ各国でも、高い感染数が確認されています。
継続する脅威 Dridex を取り巻く活動のレベルから見ると、大がかりなサイバー犯罪集団が関与していると推測されます。米国司法省は、「モルドバその他の地域で犯罪者が運用している」ボットネットがあると報告しています。
2015 年 10 月、国際的な法執行機関が 1 人の男を告発するとともに、ボットネットによる制御から遮断すべく、危殆化した数千台のコンピュータをシンクホールに捕捉する協力態勢も整えました。しかし、その効果は限られていたようで、Dridex の拡散は続いており、活動の主要な機能は依然として機能しています。2016 年も引き続き、深刻な脅威になると考えられます。
保護対策 多層の防衛戦略を利用すれば、Dridex のように攻撃性の強い脅威に対しても最大限の保護対策となります。
以下のシマンテック製品とノートン製品が、感染対策として効果的です。
メール保護
ウイルス対策の検出定義
侵入防止システムの検出定義
企業と消費者のためのヒント
Dridex に関する詳しい情報と分析については、以下のシマンテックホワイトペーパー(英語)をお読みください。
Dridex についてのインフォグラフィック
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】