信用組合を狙ったスピアフィッシング攻撃が発生

米国の複数の信用組合に向け、役員を狙ったスピアフィッシングメールが送り込まれた。誘導先のWebサイトには、IEの脆弱性を悪用してトロイの木馬をダウンロードする仕掛けが用意されていた。

[Paul F. Roberts，eWEEK]

　米国の信用組合（クレジットユニオン）が悪意あるハッカーのフィッシングメールのターゲットになりつつある。信用組合で働くITプロフェッショナルの団体、CUISPAによると、フィッシングメールを通じて最近パッチがリリースされたばかりのInternet Explorerブラウザのセキュリティホールを悪用し、各行が利用しているシステムの侵害を試みたという。

　この攻撃は、米国全土の信用組合のCEOや幹部宛てに送信された電子メールを用いて行われた。メッセージには、役員が利用しているマシンにトロイの木馬をダウンロードさせようとするWebページへのリンクが含まれていた。

　バージニア州アーリントンにあるオンラインリスクマネジメント企業、Cyveillanceのマーケティング担当副社長、トッド・ブランスフォード氏は、この攻撃は、組織の中の特定の従業員をターゲットとする小規模な詐欺事件、「スピアフィッシング」の最新事例だと説明する。

　月曜日の朝、各行の役員たちは「Credit Union」という題名が付いた同一のメールを受け取り始めた。このメッセージには、ある信用組合が受信者の銀行と「提携した」かのように思わせるWebページのURLが記されていた。

　CUISPA（Credit Union Information Security Professionals Association）のWebサイトによると、この電子メールは、同信用組合が連邦政府によって認められた機関であることの承認に一役買うよう依頼していた。

　このリンクをクリックした役員たちは、マシンに2つのマリシャスコードをダウンロードさせようとするWebページを開くことになった。うち1つは、最近発見されたIEのセキュリティホールを利用するトロイの木馬「Bloodhound.Exploit.54」だ。

　CUISPAの事務局長を務めるケリー・ドーウェル氏によると、この電子メールについて報告してきた信用金庫の多くはアンチウイルスソフトウェアを導入しており、攻撃者のWebページを訪れたときにトロイの木馬を発見し、ブロックしたという。

　しかしながら、アンチウイルスソフトウェアの定義ファイルを最新のものにアップデートしていなかった信用金庫では、それに気づくことなくマルウェアに感染していた可能性があるとドーウェル氏は述べた。同氏はさらに、CUISPAでは、今回の攻撃による金銭的な損害を把握していないため、FBIには連絡していないと述べた。

　「金銭的な被害を証明できない限り、（FBIは）興味を持たない」（ドーウェル氏）

　いまやフィッシング攻撃は、小規模な信用金庫や地方銀行にとっても決して目新しいものではない。こうした組織は今、謎に包まれたオンライン犯罪グループや詐欺師たちの格好の標的となっている。

　ニューヨーク州ポキプシーにあるハドソンバレー信用組合では12通のメールを受け取った。同組合のITネットワークマネジャーを務めるジョン・ブロジキ氏によると、そのすべてが取締役や上級管理職をターゲットにしたものだった。

　これらのメッセージは、スパムやフィッシング攻撃を検出するセキュリティ製品の設定を回避するため、45分ほどかけてゆっくり届いたという。

　メッセージの文面は稚拙なものだったが、明らかに銀行の役員層を標的にしたものだった。ハドソンバレー信用組合では多くの従業員がメッセージ中のURLをクリックしたという。ただしブロジキ氏によると、マリシャスコードをダウンロードさせようとする試みはアンチウイルスソフトウェアによって検出できた。

　攻撃者がどこから一連の電子メールアドレスを入手したかは明らかになっていない。しかし信用組合の職員は、Webページや信用組合の業界団体なども含め、いくつもの情報源が考えられるとした。ただし、情報は少なくとも2年前のものだという。

　Cyveillanceのアンチフィッシング担当シニアプロダクトマネジャー、ジェームズ・ブルックス氏は、この攻撃は、標的が銀行の顧客から経営陣に変化しつつあることを示す新しいタイプのものであると指摘した。同氏によると、攻撃者らは役員をターゲットにすることにより、信用組合の機密システムへのアクセスを狙っているという。

　「もし攻撃が成功していても、何も分からないだろう。彼らは金融機関の内部にいる。CEOを攻撃できれば、ネットワーク上のあらゆるものへアクセスできるだろう」（ブルックス氏）

　ブルックス氏は、攻撃者は、役員が利用していた銀行内部のマシンを悪用することで、たった1つか2つの口座ではなく、何千もの銀行口座をコントロールするシステムへ簡単にアクセスできていたかもしれないと述べた。

　しかし、仕掛ける側が考えるほど経営陣はおいしいターゲットではない。コロラド州コロラドスプリングスのENTクレジットユニオンのチャド・ローレンツ氏によると、金融関連の規制の変更によって、ここ数年で、経営陣のアクセス権限は減らされたという。

　ドーウェル氏は、攻撃に用いられたWebサイトをオフラインにしようと試みたが、サイトをホスティングしていたNetwork Solutionsとの間のコミュニケーションがうまくいかなかったため、手間取ったという。最終的にNetwork Solutionsは、Cyveillanceによる仲介を経て、12月14日にサイトを閉鎖させた。

　オンライン犯罪グループの手口が巧妙になるにしたがい、ここ数カ月、スピアフィッシング攻撃がまん延している。

　信用金庫を狙ったスピアフィッシング攻撃が本当はどの程度の範囲に及んだのかはいまだに分からない。攻撃者は、マリシャスコードのインストールに最新の実証コードを利用したが、フィッシングメールのぎこちない文面やアンチウイルスプログラムの検出機能によって、多くの信用金庫において感染が防がれたという点には専門家も同意している。

　「もしも攻撃者がより洗練されたフィッシングメールとWebサイトを用意し、未知（ゼロデイ）の実証コードが用いられていたならば、もっと悲惨な結果になっていただろう」（ブロジキ氏）

原文へのリンク