不正送金被害が絶えないオンラインバンキングに、また不穏な動きが出ている。先月末には、検索サイトでポップアップを表示して偽サイトへと誘導する、新たなマルウェアが見つかった。先週末には、新たな標的を模索するフィッシングが相次いだ。
■韓国向けバンキングマルウェアが日本進出
楽天銀行は7月28日、マルウェア(ウイルス)に感染したパソコンでGoogleにアクセスすると、「金融監督庁」をかたる不審なポップアップが表示され、同行をなど8行の偽装サイトに誘導される問題が発生しているとして、注意を呼びかけた。8月17日付のトレンドマイクロセキュリティブログでは、『「金融監督庁」を偽装し国内8銀行のネットバンキングを狙うマルウェア「KRBANKER」の新たな手口』と題して、このマルウェアの挙動を紹介している。このマルウェアは、もともとは韓国の金融機関を標的にしていたものだが、日本のネットバンキングも標的にし始めたようだ。
国内のネットバンキングを狙うマルウェアは、これまでにもいろいろなものが見つかっているが、たいていは、ユーザーが特定のネットバンキングにアクセスした際に、入力したアカウント情報を抜き取る。偽のポップアップ画面を表示する能動的なものもあるが、表示のきっかけはネットバンキングへのアクセスだ。
KRBANKERの場合には、検索サイトもトリガーになっているようで、楽天銀行の発表ではGoogleで、オリジナルの韓国語版ではNEVERで、偽サイトに誘導するポップアップ画面が表示されたとの報告がある。このポップアップは、「金融監督庁」をかたりセキュリティの強化と称して、利用している銀行名をクリックするよう促すもの。韓国語版を流用した関係からか、官庁名が「金融庁」ではなく「金融監督庁」になっており、ロゴも韓国版と同じ韓国の「金融監督院」のものがそのまま使われている。説明書きにも不自然な日本語が散見されるので、注意すれば怪しいと察知できるかもしれない。
トレンドマイクロの発表によると、8つの国内銀行、4つの検索エンジン、1つの社団法人のドメインを対象に、これらにアクセスしようとするとマルウェアが接続先を変更して偽サイトに誘導するという。気になるのがターゲットになっている銀行だが、調べたところ、「三菱東京UFJ銀行」「新生銀行」「ジャパンネット銀行」「楽天銀行」「りそな銀行」「みずほ銀行」「三井住友銀行」「ゆうちょ銀行」の8行らしい。ターゲットは、外部でコントロールできるので、今後さらに増えるかもしれない。
■予防対策(1) 正しいURLで偽サイトに接続する
KRBANKERの大きな特徴は、プロキシサーバー(代理サーバー)として動作する点だ。プロキシサーバーは、Webブラウザのアクセス要求を受け取り、ブラウザの代わりに指定されたURLにアクセスし、その結果をブラウザに返す。感染パソコンのプロキシも、通常はそのように動作しているが、特定のサイトへのアクセス要求に限り、偽サイトにアクセスした結果を返す仕掛けになっている。URLが違えばアクセス先は偽サイトだが、URLが正しいからといって、必ずしも正規サイトにアクセスするとは限らないので注意したい。
楽天銀行の注意喚起では、「同行のアドレスをブックマーク(お気に入り)に登録し、ログインは必ずブックマークから行う」ことを有効な対策としてあげている。たいていの場合これは、騙されて偽サイトにアクセスしないための有効な対策になるが、KRBANKERのようなプロキシでアクセス先を制御された場合には、有効な対策にはならない。プロキシを解除しなければ、正しいURLを使用しても正規サイトにアクセスできないのだ。
URLがあてになるかならないかは、HTTPSで正しく接続できたかどうかで判断できる。HTTPS接続では、接続先のサーバーが証明書を持っていなければならない。サーバー証明書には、ドメイン名だけを確認する「DV証明書」、申請した組織も確認する「OV証明書」、一定の基準に従って組織の厳格な審査を行う「EV証明書」がある。いずれも、ドメインの正当性は審査されているので、HTTPS接続のURLは信じてよい。マルウェアが証明書を偽造する仕組みをインストールしたり、本物の証明書が流出したりしない限り、この方法で真偽を正しく判別できる。HTTPSで接続し、なおかつアドレスバーのURLが正しい、または証明書の運営者名が正しい場合は本物だ。
■予防対策(2) 感染源を断つ
バンキングマルウェアは、メールの添付ファイルやリンク先、Webサイトや検索サイトのリンク、改ざんサイトからの誘導など、さまざまな経路からパソコン内に侵入する。「不審なファイルを開かない」「不審なサイトへはアクセスしない」などの旧来からの心掛けだけでも、ある程度の侵入を食い止めることができる。
トレンドマイクロによると、今回のKRBANKERは、国内の改ざんサイトなどのWeb経由を中心とした拡散だったという。この場合は、旧来からの心がけでは回避できないかもしれないが、実行しさえしなければマルウェアもただのプログラムに過ぎない。マルウェアは、ユーザー自身が実行するか、脆弱性を悪用して自動実行するかのいずれかの方法で活動を開始する。両方を断つと、感染を食い止めることができる。
標準設定のWindows上で標準的なアプリを使用している場合には、メールやWeb経由で侵入してきたプログラムを実行する際には、実行するかどうかを確認するセキュリティの警告が必ず表示される。警告が出たら中止すよう心がければ、ユーザー自身で実行してしまうケースを回避できる。
脆弱性の悪用による自動実行は、悪用される脆弱性をなくすことで回避できる。Windows Updateでシステムと標準アプリのアップデートを行うとともに、使用しているアプリのアップデートも欠かさず行う。特に狙われることが多い、Adobe Flash PlayerとJRE(Java Runtime Environment:Java実行環境)は、不要ならアンインストールを、利用するなら遅延なくアップデートしていただきたい。
(2016/08/23 ネットセキュリティニュース)
【関連URL】
・楽天銀行を偽装したサイトへの誘導にご注意ください(楽天銀行)
http://www.rakuten-bank.co.jp/info/2016/160728.html
・「金融監督庁」を偽装し国内8銀行のネットバンキングを狙う「KRBANKER」の新たな手口(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/13683
・KRBanker、アドウェアとエクスプロイト キットを介して韓国を標的に(パロアルトネットワークス)
https://www.paloaltonetworks.jp/company/in-the-news/2016/160510-unit42-krbanker-targets-south-korea-through-adware-and-exploit-kits-2.html