ネットの犯罪者集団「Rock Phish」が、悪質なプログラムを使った攻撃を始めたとして、セキュリティベンダーが注意を促している。
「Rock Phish」は欧州を中心に活動し、金融機関のアカウントを狙った大規模なフィッシングを仕掛ける犯罪者集団であり、本物そっくりのフィッシングサイトを簡単に構築できるツールキットの販売でも知られる。2004年以来フィッシング一筋の彼らだったが、今度はスパイウェアにも触手をのばしたらしい。
■フィッシングとスパイウェアの波状攻撃
米トレンドマイクロは現時時間17日、「Bank of America」をかたる新たなフィッシングを報告した。セキュリティ認証などと称して偽のログインページに誘導する従来のものと異なり、今回のメールはデジタル証明書のインストールを促し、偽の証明書取得ページへと誘導する。当該フィッシングメールは先月から観測されており、フィッシング対策協議会のホームページでも先月24日に報告が上がっていた。
従来のフィッシングでは、偽サイトの指示に従ってIDやパスワードを入力すると試合終了。入力情報が盗み取られるだけだったのだが、今回の攻撃は証明書の作成に乗じて悪質なプログラムまでインストールしようとする。
■フィッシングが駄目でもスパイウェアで
トレンドマイクロに続いて米EMCのセキュリティ部門RSAもまた、Rock Phishが仕掛けた新たな攻撃を報告した。RSAのブログによると、今度は脆弱性を突いて悪質なプログラムが知らない間に実行されるらしい。シニア・リサーチャーのアリエル・マイモン氏は「偽サイトに誘導されても、多くの人は個人情報などを入力したりはしないが、そんな人たちも危険にさらされている」とブログで述べている。インストールされる悪質なプログラムは、ユーザーの個人情報などを、さまざまな方法で盗み取るスパイウェア。どうやら彼らは闇市場で売られている「Zeus」ファミリーを、得意のフィッシング攻撃に投入して来たらしい。
■そして入力欄が消えた
トレンドマイクロは現時時間28日、さらに進化したRock Phishの攻撃を報告した。2つの銀行を狙った新たな攻撃では、証明書の期限が切れるので更新するよう促すメールの誘導先に、もはやパスワードの入力欄などはない。証明書の自動更新プログラムと称し、ひたすら悪質なプログラムをダウンロード・実行させようとするのだ。待ち受けているのが、それぞれの銀行を狙うスパイウェアであることはいうまでもない。もたもたしていると、勝手にダウンロードを開始しようとさえする。
パスワードや個人情報などを盗み取る手口には、サーバに侵入して盗み取る、ユーザーのパソコンに悪質なプログラムを仕掛けて盗み取るなどの方法があった。近年はこれに、ユーザーを騙して偽サイトに誘導し、ユーザー自身に情報を提供させるフィッシングという手法が加わった。以来、フィッシング一筋で金融機関を狙て来たRock Phishだが、いよいよ攻撃手法の転換期を迎えたのかもしれない。
かつてのメールの添付ファイルから、その身を次々とウェブ上に移して行った他の悪質なプログラムとともに、リンクの先には闇が広がる。
(2008/4/30 ネットセキュリティニュース)
【各社の報告】
・Bank of Americaをかたるフィッシングメール(フィッシング対策協議会)
http://www.antiphishing.jp/db/detail.cgi?id=41
・Digital Certificates Not Always a Safety Guarantee[英文](TrendLabs Malware Blog)
http://blog.trendmicro.com/digital-certificates-not-always-a-safety-guarantee/
・Older and wiser(RSA Blog)
http://www.rsa.com/blog/blog_entry.aspx?id=1274
・RSA, The Security Division of EMC, Discovers “Rock Phish” Attack Evolution[英文](EMC)
http://www.emc.com/about/news/press/2008/20080421-02.htm
・Rock Phishers Up the Ante with More ‘Digital Certificates’[英文](TrendLabs Malware Blog)
http://blog.trendmicro.com/rock-phishers-up-the-ante-with-more-digital-certificates/