「金融監督庁」の偽表示などに注意、新たなバンキングトロイの感染多数

感染したコンピュータで「金融監督庁」というボップアップなどが表示され、そこから実在する銀行の偽サイトに誘導されてしまうという。

[ITmedia]

　トレンドマイクロは8月17日、「KRBANKER」と呼ばれるオンラインバンキング利用者を狙うマルウェア攻撃が拡大しているとして注意を呼び掛けた。同日までに300件以上の検出が報告されているという。

トレンドマイクロで検出した「KRBANKER」の推移。最初の確認は7月28日という

　同社によると、KRBANKERは改ざんされた国内サイトの閲覧者を中心に感染が広がっている。KRBANKERは、感染先のコンピュータのユーザーが特定サイトにアクセスしようとすると偽サイトにリダイレクトさせ、認証情報を盗み取る。特定サイトの情報として8つの国内銀行、4つの検索サイト、1つの社団法人サイトの計13ドメインが登録されている。

　このうち1つの検索サイトにアクセスすると、ユーザーのコンピュータに「金融監督庁」をかたる偽のポップアップ画面が表示される。偽画面にはセキュリティ強化を促すメッセージが記載され、実在する銀行になりすました偽サイトへ誘導される。この銀行の正規サイトのURLは「https」で始まるが、偽サイトは「http」となっており、ユーザーが違いに気が付かずにアクセスしてしまう恐れがあるという。

「KRBANKER」に感染して特定の検索サイトにアクセスすると、「金融監督庁」を名乗るページが表示される（左）。さらに、「金融監督庁」ページから実在する銀行の偽サイトに誘導され、情報を盗み取られる恐れがある（右）

　「金融監督庁」は実在しない機関のため、トレンドマイクロは「攻撃の手口としては甘いかもしれないが、大きなものではない」と指摘。従来型の攻撃では、マルウェアがユーザーを偽サイトに誘導しようとする場合に、ユーザーが正規サイトへアクセスしようとするまで待つ必要があったものの、今回見つかった攻撃では「金融監督庁」を名乗る偽表示を先に表示してユーザーを誘導しようとする点が異なるという。

　昨今のWeb経由の攻撃は、正規サイトから不正サイトに誘導するなどしてマルウェア感染させる手口が主流になっており、同社は「不審なWebサイトにアクセスしないなどの心掛けのみでは守れない。侵入を止めるためにもメールとWebでの侵入検知対策が重要」と解説している。