ネット銀行狙うマルウェア「Ursnif」が流行、銀行など40社の情報を搾取

ネットバンキングの不正送金を狙う「Ursnif」(別名Goziなど)が国内で流行し始め、セキュリティ機関などが一斉に注意を呼び掛けた。

» 2016年06月15日 15時30分 公開
[ITmedia]

 ネットバンキングの利用者から情報を盗み取るマルウェア「Ursnif」(別名Gozi、Snifula、Snifulaなど)の感染が国内で流行しているという。日本サイバー犯罪対策センター(JC3)やセキュリティ各社が6月15日、ネットバンキング利用者などへ一斉に注意を呼び掛けた。

 Ursnifは、標的とする銀行やクレジットカード会社などのネットバンキングの利用者のコンピュータに感染し、利用者の情報や入力した内容などを盗み取る。このマルウェアを使う攻撃者は、盗んだ情報を使って利用者になりすまし、ネットバンキングの口座などから不正送金する狙いがあるとみられている。

Ursnifが感染先のコンピュータに表示する偽画面の例。入力情報を盗む(トレンドマイクロより)

 JC3は、警察庁や金融機関などと連携してUrsnifの感染や不正送金被害が拡大していることを確認。ラックによれば、3月頃からUrsnifによるとみられる不審な通信を多数検出しており、特に4月と5月はマルウェア感染事故の2割をUrsnifが占めた。トレンドマイクロの観測では、6月5日以降にUrsnifの検出が急増しているという。

ラックが確認したUrsnif関連のインシデント件数
トレンドマイクロが確認した国内でのUrsnif検出台数

 トレンドマイクロによれば、Ursnifの主な感染経路はメールとWebサイトの2つ。メールによる感染攻撃では、さまざまな内容の日本語メールが使われ、最終的に受信者のコンピュータにUrsnifを送り込むダウンローダーを仕込んだZipファイルが添付されている。確認されたZipファイルの中身は実行形式(.exe)だが、拡張子を二重にしたり、文字列を並べ替えたりする偽装が行われ、「exe.doc」というように文書ファイルに見せかけている。

感染攻撃に使われたメールの文例。休暇申請や通販の支払い確認など、さまざまな内容で出回っている(トレンドマイクロより)

 一方、Webを使う感染攻撃では改ざんされたWebサイトの閲覧者をマルウェアダウンロードサイトに誘導。閲覧者のコンピュータに脆弱性が存在すると、これを悪用してUrsnifに感染させる。改ざんされたWebサイトは、中堅・中小企業や学校など少なくとも160サイト以上あり、国内からマルウェアダウンロードサイトへ1万5000以上のアクセスがあったという。

 Ursnifが情報を搾取する対象にしている金融機関は約40社で、特に地方銀行が17サイト、クレジットカード会社10サイトと集中的に狙われている。

 JC3やセキュリティ各社は以下の対策を実施して、Ursnifの感染や被害を防いでほしいとアドバイスしている。

  • WindowsやOffice、Adobe Flash Player、Adobe Reader、Java、WebブラウザといったOSおよびアプリケーションの修正プログラムを全て適用する(脆弱性の解消)
  • 脆弱性を悪用されないよう、Microsoftの「EMET」を導入する
  • セキュリティソフトを導入してパターンファイルなどを常に最新状態に更新する
  • インターネットバンキングにアクセスした際に不審な入力画面などが示された場合、ID・パスワードなどを入力しない(利用する金融機関などにも通報する)
  • ワンタイムパスワードを利用する
  • 金融機関が二経路認証やトランザクション認証など高度なセキュリティ対策を導入している場合はこれらを利用する
  • 意図しないログイン履歴がないか、自分の口座の入出金明細などを定期的に確認する。
  • 不審なメールの添付ファイルやURLを開かないようユーザーへの教育を実施する
  • 手口や被害事例について常に最新の情報をセキュリティ情報サイトやニュースサイトから入手する

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ