トレンドマイクロは10日、日本を標的とするオンライン銀行詐欺ツール「WERDLOD」について注意を呼びかけた。ネットバンキングで使用する認証情報を盗み取ろうとするマルウェア(ウイルス)で、同社では2015年1月から3月の間に国内で約400件を検出したという。
攻撃者はまず、大手通販サービスを装う添付ファイル付きの迷惑メールをばらまく。トレンドマイクロでは通販サービスの名称を明らかにしていないが、実際は楽天市場を装ったメールで、「2015/02/10日付ご注文No.95193244」などという件名で、2月10日頃に出回った。添付されているRTFファイルを開き、「画像をダブルクリックして領収証をお受け取りください。」と書かれている通りに画像のアイコンをダブルクリックしてしまうと、WERDLODに感染する。楽天市場も2月12日にこのメールへの注意を呼びかけている。
楽天を装ったRTFファイル付きの迷惑メールは、昨年12月にも「2014/12/8付ご注文」などの件名でばらまかれている。トレンドマイクロの昨年12月10日付のブログによると、12月8~9日の2日間で、このメールに添付されていたマルウェアが国内の800台以上から検出されたという。
■WERDLODに感染すると、どうなるか
WERDLODに感染すると、国内の大手金融機関4行、地銀10行などを含む、26のJPドメインへのアクセスが、攻撃者の用意した不正なプロキシサーバーを経由するようになってしまう。これは、感染端末と正規のネットバンクのサーバーとの通信に割り込む「中間者攻撃」と呼ばれる手法だ。ユーザーは正規のネットバンクと通信しているつもりなのだが、実は攻撃者と通信しており、ユーザーが入力した情報は攻撃者に筒抜けとなっている。
ただし、ネットバンキングサイトでは通常 HTTPS(HTTP over SSL/TLS)でアクセスするため、単に不正なプロキシサーバーを経由させるだけでは、「SSLサーバ証明書の検証エラー」が発生し、ブラウザに警告画面が表示されて、ユーザーに気付かれる。WERDLODは、不正なルート証明書をこっそりパソコンやブラウザの「信頼するルート証明書リスト」へインストールし、このエラーが発生しないようにしてしまう。
WERDLOD自体は、情報を盗み取る活動を行わない。中間者攻撃を可能にするために設定変更を行うだけのもので、感染成立後は、起動する必要も常駐する必要もない。WERDLODの本体ファイルを削除しても、WERDLODの行った設定変更がそのままになっていれば、ユーザーは被害を受け続けることになる。
■現時点でユーザーにできること
現時点では、WERDLODの被害を防ぐ対策として、ブラウザのアドレスバーが緑色であるかどうかの確認が有効だ。多くの金融機関ではEV SSL証明書を導入しており、接続時にはアドレスバーが緑色になる(ブラウザによっては、錠前マークと運営者名が緑色で表示される)。WERDLODに感染した端末からネットバンクにアクセスした場合、通常は緑色になるはずのアドレスバーが緑色にならないため、いつもと違うと気付く助けになる。
「アドレスバーが緑色」「錠前マークと運営者名が緑色」とはどういう状態なのかは、下記の「ネットセキュリティニューストピックス」(2015年3月)を参照していただきたい。ただし今後、攻撃方法がアップデートされ、プロキシサーバーが不正なEV SSL証明書を提示するようになる可能性もある。そうなるとこの確認方法は役に立たない。今のところは有効な対策として意識しておきたい。
メールの添付ファイルを安易に実行しないことも非常に大切だ。
(2015/04/14 ネットセキュリティニュース)
【関連URL】
・日本を標的とする新たなオンライン銀行詐欺ツール「WERDLOD」の手口を解説(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/11258
・12月8日から急増の請求書偽装スパム、主な狙いは国内銀行15行の認証情報か?(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/10558
・「invoice_10_02_2015.rtf」というファイルが添付されたメールにご注意ください(楽天市場)
http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/26504