銀行情報を狙うマルウェア「Ursnif」、日本での活動が再び活発に

Ursnifが仕掛けられたメールは「公共料金請求書データ送付の件」「商品発送のお知らせ」といった内容でユーザーをだまし、添付ファイルやリンクをクリックさせようとする。

[鈴木聖子，ITmedia]

　米IBM傘下のX-Forceは10月26日、銀行やクレジットカードの情報を盗むマルウェア「Ursnif」（別名Gozi）が、2017年9月から10月にかけ、日本での活動が再び活発化していると伝えた。

　X-Forceによると、Ursnifは2007年に発見されたマルウェアで、当初は主に英語圏で出回っていたが、2016年ごろから日本でも横行するようになった。

銀行情報を狙うマルウェア「Ursnif」の日本での活動が強まっているとX-Forceが伝えた

Ursnifが添付ファイルに仕掛けられているメールの例。タイトルは「公共料金請求書データ送付の件」となっている（出典：X-Force）

　日本では主に銀行やクレジットカードの情報が狙われているほか、Webメールやクラウドストレージ、仮想通貨プラットフォーム、電子商取引サイトのユーザー認証情報を盗もうとする亜種も出回っている。手口から判断すると、犯人は日本の銀行の仕組みにかなり精通している様子だという。

　攻撃には、電子メールに悪質なファイルを添付したり、リンクをクリックするよう仕向けて悪質なコードを仕込んだページに誘導する手口を利用。「公共料金請求書データ送付の件」「商品発送のお知らせ」といった件名のメールでユーザーをだまし、添付ファイルやリンクをクリックさせようとする。

「商品発送のお知らせ」というメールのパターンもある（出典：X-Force）

　不正なメールは火曜夜に届くことが多く、感染は木曜から金曜にかけてピークに達する傾向が指摘されている。

　日本で攻撃が活発化している理由について、X-Forceでは、2015年夏に浮上して日本で猛威を振るったトロイの木馬型マルウェア「Shifu」が感染拡大の土台を作ったと指摘。他のマルウェアがShifuのツールをコピーし、現地の同じ集団と手を組んでいるのではないかと分析する。

　2017年に世界で出回ったマルウェアの中では、Ursnifは「Zeus」に次いで2番目に多い21％を占めているという。