Ursnifが仕掛けられたメールは「公共料金請求書データ送付の件」「商品発送のお知らせ」といった内容でユーザーをだまし、添付ファイルやリンクをクリックさせようとする。
米IBM傘下のX-Forceは10月26日、銀行やクレジットカードの情報を盗むマルウェア「Ursnif」(別名Gozi)が、2017年9月から10月にかけ、日本での活動が再び活発化していると伝えた。
X-Forceによると、Ursnifは2007年に発見されたマルウェアで、当初は主に英語圏で出回っていたが、2016年ごろから日本でも横行するようになった。
日本では主に銀行やクレジットカードの情報が狙われているほか、Webメールやクラウドストレージ、仮想通貨プラットフォーム、電子商取引サイトのユーザー認証情報を盗もうとする亜種も出回っている。手口から判断すると、犯人は日本の銀行の仕組みにかなり精通している様子だという。
攻撃には、電子メールに悪質なファイルを添付したり、リンクをクリックするよう仕向けて悪質なコードを仕込んだページに誘導する手口を利用。「公共料金請求書データ送付の件」「商品発送のお知らせ」といった件名のメールでユーザーをだまし、添付ファイルやリンクをクリックさせようとする。
不正なメールは火曜夜に届くことが多く、感染は木曜から金曜にかけてピークに達する傾向が指摘されている。
日本で攻撃が活発化している理由について、X-Forceでは、2015年夏に浮上して日本で猛威を振るったトロイの木馬型マルウェア「Shifu」が感染拡大の土台を作ったと指摘。他のマルウェアがShifuのツールをコピーし、現地の同じ集団と手を組んでいるのではないかと分析する。
2017年に世界で出回ったマルウェアの中では、Ursnifは「Zeus」に次いで2番目に多い21%を占めているという。
Copyright © ITmedia, Inc. All Rights Reserved.