パソコンからネットバンクの認証情報やクレジットカード情報を盗み取るマルウェア「URSNIF」(別名:Gozi、Snifula、Papras)の感染が広がっており、セキュリティ関連機関や企業が注意を呼びかけている。
日本サイバー犯罪対策センター(JC3)、トレンドマイクロ、ラックが15日に情報を公開し、適切な対策をとるよう促している。
■ネットバンキング不正送金、クレジットカード不正使用、情報漏えいのおそれ
公開された情報によると、感染した端末を使用してインターネットバンキングを利用すると、ID/パスワードなどの情報が盗み取られ、不正送金が行われるおそれがある。トレンドマイクロによると、地方銀行などの中小金融機関を中心に、40件弱の国内ネットバンキングが標的となっている。
偽のクレジットカード入力画面を表示させる機能も持っているため、カード情報が盗み取られて不正使用が行われるおそれもある。キー入力操作情報を収集して送信する機能も持っており、感染した端末から金融機関関連情報だけでなく、その他の重要な情報が盗み取られるおそれもある。
■メール経由感染が主体――ビジネス装う件名や本文でクリック促す
メールに添付されているファイルを開く(メール経由)、または改ざんされたサイトや不正な広告の閲覧(Web経由)により感染するとみられている。
トレンドマイクロによると、メール経由での拡散が主体となっており、同社では5月末から今月13日までに3万件以上のマルウェアスパムを確認したという。これまでに「年休申請」、「請負契約書」、「年次運用報告書」、「算定届出書」、「状況一覧表」、ネット通販からの「支払確認」など、さまざまな件名や本文のマルウェアスパムが確認されている。
■メール経由攻撃を防ぐ対策――「警告画面」が出たら作業中止を
今回のようなメール経由の攻撃では、送りつけられるメールがどんどん変わっていくため、件名や本文に気をつける、あるいはこれらでフィルタリングするという対策は効果が薄い。メールに添付されているのはZIP圧縮ファイルで、圧縮ファイル内には不正プログラムとしてスクリプトファイル(拡張子.js)、もしくは実行可能ファイル(拡張子.exe、.scrなど)が含まれている。実行可能ファイルでは、二重拡張子やRLOのような拡張子偽装の手法が使われているという。
こうしたメール経由の感染を防ぐためのポイントを、下欄の「関連記事」でまとめているので、ぜひ参考にしていただきたい。不審なメールを開かないことはもちろんだが、心当たりがあって添付ファイルを実行しようとしたときでも、警告画面が表示されたらそれ以上進まずに作業を中止しよう。使用しているメールソフトや圧縮解凍ツールによっては警告が出ないこともあるが、警告を受けてそこで踏みとどまれば、感染に至らずに済む。必要なら、添付ファイル付きのメールを送ったかどうか、差出人に電話などで確認をとってみよう。
■Web経由の感染対策――アップデート即応で最新状態に
Web経由の感染を防ぐためには、Windowsアップデートを行うことと、ブラウザーやプラグイン(Adobe Reader/Acrobat Reader、Flash Player、JREなど)のアップデートを怠らず、常に最新の状態にしておくことが大切だ。アップデートの方法については、下欄の「関連トピックス」をご覧いただきたい。
また、セキュリティ対策ソフトを導入し、常に定義ファイルを最新の状態にして利用することも、感染を防ぐための助けとなる。
(2016/06/16 ネットセキュリティニュース)
【関連URL】
・インターネットバンキングマルウェア「Gozi」による被害に注意(日本サイバー犯罪対策センター)
https://www.jc3.or.jp/topics/gozi.html
・国内ネットバンキングを狙う「URSNIF」が新たに拡散中(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/13471
・クレジットカードや金融機関関連情報を窃取する「Ursnif」の被害が拡大しています(ラック)
http://www.lac.co.jp/news/2016/06/15_press_01.html
・Ursnif(別名:Gozi他)が3月以降猛威を振るっています。(ラック)
http://www.lac.co.jp/blog/category/security/20160615.html