国内のオンラインバンキングで大きな被害を出している不正送金ウイルスのひとつVawtrak(ボートラック)が、機能拡張を続けているようだ。警察庁がまとめた今年上半期の被害状況を受け、セキュリティ企業各社が相次ぎ注意を呼びかけている。
Vawtrakは、マイクロソフトやトレンドマイクロの呼称で、シマンテックが「Snifula」、カスペルスキーやマカフィーが「Neverquest」、Dr.WebやESETが「Papras」と呼んでいるウイルスに相当する。もともとは海外の金融機関を狙って活動していたものだが、国内の金融機関を標的とした活動が昨年頃から顕著になりはじめた。
警察庁がまとめた今年上半期の不正送金被害は、約18億5200万円。過去最悪だった去年1年間の被害額約14億600万円をすでに上回っており、猛威をふるっているVawtrakがその元凶と見られている。
■ヤフオク!やアマゾンも攻撃対象に
セキュアブレインは19日、Vawtrakが攻撃対象を更新し、新たにヤフオク!と大手通販サイトのユーザーが攻撃対象にされたとして注意を呼びかけた。NHKは、ウイルスを解析したセキュリティ関係者からの情報として、大手通販サイトがアマゾンであると伝えている。
オンラインバンキングの不正送金ウイルスとして猛威をふるっているこのウイルスには、クレジットカード情報の窃取というもうひとつの顔がある。攻撃対象は、各クレジットカード会社の会員で、会員サイトにログインするとIDとパスワードを攻撃者のサーバーに送信し、カード番号や有効期限、セキュリティコードを入力させる偽の画面を表示する。正規サイトで表示されるこの画面を本物と思い込んで入力してしまうと、これら情報が全て攻撃者の手に渡ってしまう。
7月の時点では、国内のオンラインバンキング17社とカード会社20社がVawtrakの攻撃対象だったが、新たにヤフオク!とアマゾンが追加されたようで、ヤフーも18日、ヤフオク!のサイトにアクセスした際に、ヤフオク!の画面を模倣したニセ画面を表示させる事例を確認したとして、注意を呼びかけた。
Vawtrakの攻撃対象は、攻撃者が用意する設定ファイルに従ったもので、設定ファイルはオンラインで更新され続けている。感染したものの被害が発生しないため気付かずにいるユーザーも、攻撃対象が更新された次のターンでは、潜伏していたウイルスの餌食になってしまうかもしれない。
■セキュリティソフトを妨害するVawtrak
攻撃対象の拡大を伝えたセキュアブレインは、米セキュリティ企業シマンテックの日本法人から独立した国内の企業で、一部のオンラインバンキングで提供されている国産の不正送金対策ソフト「PhishWall」の開発元でもある。18日付のシマンテックのブログには、シマンテック名の「Snifula」ことVawtrakが、このPhishWallの妨害工作を行っている様子が書かれている。
ゆうちょ銀行のオンラインバンキング「ゆうちょダイレクト」では、「PhishWallプレミアム」を提供しており、同行のトップページには利用を勧めるバナー画像が掲載されている。ところが感染パソコンでアクセスすると、ブラウザがコンテンツをロードする際に、この画像が表示されないように細工されるのだという。
Vawtrakのセキュリティソフト妨害工作は、これまでにも報告されている。パソコンにインストールされているセキュリティソフトをチェックし、レジストリに細工するのだそうだ。Vawtrakにレジストリを書き換えられてしまうと、「グループポリシーによりこのプログラムはブロックされています」という表示が出て、製品が起動しなくなってしまう。この妨害工作の対象には、主要なセキュリティソフト数十種が名を連ねており、その中にはシマンテックの製品も含まれていた。
■対策の難しい新たな攻撃手法
今月10日付のトレンドマイクロのブログでは、「国内の銀行・クレジットカード会社37社を狙う自動不正送金ツールを徹底解析」と題し、4~6月期にこのウイルスが猛威をふるった様子が解説されている。内容は、7月ごろのもので新たな情報の追加はないが、Vawtrakの猛威と困った振る舞いがまとめられている。
同社が今年1~6月期に検出したオンライン銀行詐欺ツールの国内検出台数は、前年同期比3.9倍の3万553台だった。うち約2万台は、5月に初めて確認された「Vawtrak」の国内感染台数だ。この感染増により4~6月期は、これまで連続して1位だったアメリカの感染数を抜き、日本の感染数が初めて世界1位になったという。同社の製品は、国内ユーザーの占める割合が高いとはいえ、嬉しくない世界一だ。
ブログでは、このウイルスが今春に実装した新しい手口について、詳しく解説している。同社がATS(Automatic Transfer System、自動送金システム)と呼ぶこの手口は、今年5月に三井住友銀行が公表した新手法を指す。これまでのウイルスは、偽の画面を表示してIDやパスワードなどを盗み取るだけだった。不正送金は、窃取後に改めて行っていたのだが、新しい手口では、その場で不正送金を試みる。ウイルスが背後で勝手に送金手続きを始め、手続きを完了させるために乱数表やパスワード発生器(トークン)が生成するワンタイムパスワードが必要になったところで、ユーザーにそれを入力させようとする。
一連の操作は、全てブラウザを乗っ取ったウイルスが行っているものだが、ユーザーには公式サイト上で展開される正規の画面操作に見え、オンラインバンキング側にはユーザー自身が操作しているように見えてしまう。偽物に気付きにくい上、ID/パスワードはもちろん、その都度変化するワンタイムパスワード、電子証明書を使った端末認証、別の端末からアクセスしたときに必要な秘密の質問と答えといった、これまでに講じてきた様々ななりすまし対策が、ことごとく突破されてしまう厄介な攻撃手法なのだ。
■崖っぷちのなりすまし対策
ブラウザを乗っ取ったウイルスが、ブラウザ上でユーザーとオンラインバンキングの間のやりとりを細工し、不正な操作を紛れ込ませる攻撃をMITB(Man in the Browser)攻撃と呼んでいる。現行の認証手段を全て無力化してしまう究極の攻撃手法だが、いまのところはまだ防御の余地が残っている。現在の攻撃は、これまで事後に行っていた不正送金を、ログイン直後のリアルタイム処理に変更しただけなので、ログイン時にワンタイムパスワードの入力を求めるという、正規の手続きにはない操作が求められる。不審なことに気づくチャンスがまだ残っているのだ。
では、もしウイルスが行う不正操作が、実際の送金処理に紛れ込んで来たらどうだろうか。正規のサイトで正規の手続きを経て、送金しようとしている相手と金額が画面に表示されているのを見れば、もはや誰もが何の疑いもなく手続きを完了させてしまうだろう。現行のオンラインバンキングでは、送金先や金額がウイルスによって書き換えられていても、気付くすべがないのだ。
ユーザーが指定し画面で確認しているはずの送金情報(送金相手/金額)が、ウイルスによって書き換えられたものではないことを確認するためには、ユーザーが指示した送金情報と、オンラインバンキングが処理する送金情報とが一致していることを検証する仕組みを設ける必要がある。
例えば、ユーザーのトークンと登録先のオンラインバンキングだけが同じワンタイムパスワードを共有できるのと同じようなやり方で、ユーザー側で送金情報をからめた固有の認証コードを生成する仕組みを用意する。送金時には、送金情報とともにこの認証コードを送り、オンラインバンキング側でそれが正しいことをチェックすれば、送金情報が書き換えられていないことを検証できる。
このような検証の仕組みは、トランザクション署名などと呼ばれている。国内のオンラインバンキングでは、今のところはまだ実装されていないが、一部のオンラインバンキングが採用しているテンキー付きのトークンは、このトランザクション署名の実現を見越した設計になっている。やがて国内にも来襲するだろう本格的なMITB攻撃に備え、そろそろトランザクション署名が実装されるかも知れない。
(2014/09/25 ネットセキュリティニュース)
【関連URL】
・平成26年上半期のインターネットバンキングに係る不正送金事犯の発生状況等について[PDF](警察庁)
http://www.npa.go.jp/cyber/pdf/H260904_banking.pdf
・ヤフオクと大手通販サイトのユーザを狙うウイルスに対してセキュアブレインが注意喚起(セキュアブレイン)
http://www.securebrain.co.jp/about/news/2014/09/mitb-140919.html
・クレジットカードのカード番号を盗み取ろうとする「ニセ画面」にご注意ください(ヤフ=)
http://topic.auctions.yahoo.co.jp/notice/other/important/post_1060/
・オンラインバンキングを狙うトロイの木馬 Snifula が日本製セキュリティ製品に対抗(シマンテック)
http://www.symantec.com/connect/ja/blogs/snifula-0
・国内の銀行・クレジットカード会社37社を狙う自動不正送金ツールを徹底解析(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/9884