銀行情報を狙う新手のマルウェア出現、日本の14行が標的

極めて高度な機能を持つ「Shifu」は2015年4月頃から活発な動きをみせ、現時点では日本の銀行14行が標的になっているという。

[鈴木聖子，ITmedia]

　日本の銀行を主な標的にした新手のマルウェアが出回っているという。米IBMのセキュリティ研究部門X-Forceはこのマルウェアを「Shifu」と命名。極めて高度な機能を持っていることが分かったと伝えた。

　X-Forceの8月31日のブログによると、Shifuは2015年4月ごろから活動が活発になり、現時点では日本の銀行14行が標的になっている。同社が詳しく調べた結果、銀行情報を狙う他のマルウェアから流出したソースコードを組み合わせて、極めて高度な機能を実装していることが判明した。

「Shifu」が標的にしている地域（IBMより）

　Shifuの名称は、泥棒を意味する英単語「thief」の日本語発音にちなんで同社が付けたという。

　Shifuは感染先の端末のキー入力を記録してパスワードを盗んだり、オンラインバンキングアプリに使われる証明書や認証トークンを盗んだりする機能を備えており、盗んだ情報を使って被害者のアカウントが乗っ取られる恐れがある。スマートカードが使われている場合は、カードを解析してデータを引き出すこともできるという。

　さらにはPOS端末も標的とされ、感染した端末をスキャンしてPOS端末と判明した場合は、メモリ抽出用のプラグインを起動して決済カードのデータを収集する。

　感染先の端末を「独り占め」しようとする挙動も見つかった。新たなマシンに感染するとウイルス対策のような機能を起動させ、不審なファイルのインストールを阻止して他のマルウェアを妨害しようとするという。

　出所については、スクリプトにロシア語のコメントがあることからロシア発祥の可能性もあるが、作者が真の出所を隠そうとしている可能性もあると、X-Forceは分析。同社は近くShifuについての詳しい報告書をまとめ、公開することにしている。

2014年までのネットバンキングの不正送金被害の推移（警察庁資料）