【注意喚起】オンライン銀行詐欺ツール

INTERNET WATCH(impress)記事で、「日本を標的とした新たなオンライン銀行詐欺ツール、設定変更で認証情報を盗み出す(2015-04-13)」があったので、注目していこう。

銀行詐欺ツール

この今回のオンラインバンク詐欺ツールは、かなり深刻になるかもしれない、ということだ。なんでかというと、PACファイルを活用とした通信の流れを抑制してしまう行為が行われるようだ。
現在注意喚起されているのが、「WERDLOD」という悪質なツールで、感染経路としては、大手通販サービスの請求書を偽装したメールにより、添付されたRTF形式(リッチテキスト)のファイルを開かせようとするようだ。
リッチテキストを開くだけでは感染せずに、開いたうえで、更に埋め込まれたファイルをWクリックすることで、感染するようだ。ここでちょっと怪しくない?と判断できそうなものなのだが。

PACファイルって何?から説明しておこう。PACファイルは、JavaScriptによる記述で簡単に制御が可能。ホスト名もしくはIPアドレスから、どこのサーバ(Proxy)に接続させるか、といった記述が可能だ。

isInNet (ホスト, パターン, サブネット)という関数で、URL ホスト名を IP アドレスに解決し、それがマスクによって指定されたサブネットに属しているかどうかテストできる関数だ。
例の場合だと、この指定条件にマッチしたら、DIRECT、すなわち直接接続。その条件に合わなければ、Proxy:80接続にせよ、ということだ。これを悪用すれば、巧みな設定を簡単な記述で書けるわけだ。

このPACファイルの書き方は、「付録 B : 自動プロキシ構成スクリプトの例(Technet)」「自動設定ファイルの手動による作成(oracle)」に詳しく書かれているので、参考頂ければと思う。

PACファイルを、http://~/proxy.pacといったURLで指定すれば、proxy.pacファイル内容を変更するだけで、設定されたPCは、PACファイル通り通信されてしまう。作業が終われば、関係がない転送先にすれば、跡形もなく逃げ去ることができそうだ。非常に危険な角度からの情報窃盗に近い。

法人の場合は、ゲートウエイに、BlueCoat ProxySGでの通信を許可し、FireWallでProxySG以外からの通信を通さないという制御をかければ、こういったPACファイルを悪質した通信変更が発生したとしても不正通信を制御できるため、ある程度、対策ができるのではないか、と考えられる。私としてもProxySGを利用して今年で6年目。非常に品質の高い製品なので、参考に頂ければ幸いだ。

 

銀行詐欺ツールとしては、PCのシステムファイルに保存し、自身のフォルダやファイルを非表示にさせて活動するZBOT(2013年)、不正リンクをクリックしただけで感染するドライブバイダウンロードを行うVAWTRAKや、AIBATOOK(2014年)。そして、今回のWERDLOD(2015年)とい感じで、徐々に悪質かつ巧妙な手口による感染拡散がはかられていると考えられる。この、今回のWERDLODは、不正の証明書のインストールも行われるため、https://~で接続した際も、問題なく、接続できたりするため、そこが「気が付かれない問題」が盲点になりそうだ。

不正な動きをしているかどうかは、wiresharkで調べるのもよし、F-Secure Client Security(家庭向けF-Secure製品とは全く機能面が違います)のパケットキャプチャーツールで状況を調べるなど、色々とやりようがあるかもしれない。

 

今回のWERDLODについても、不正なファイルが送られ、それを開けてもまだ感染しない。そこに埋め込まれた画像をWクリックしなければ感染しないのだが、過去によく出回った、ファイルを偽装したウイルス等は、Java 7のサポート終了に伴い、脅威が増してきそうだ。特に、サポート終了した製品に脆弱性が見つかれれば、そこから攻撃が仕掛けられ、自然に感染へと導かれてしまう。是非とも注意して欲しい。

 

日本を標的とする新たなオンライン銀行詐欺ツール「WERDLOD」の手口を解説(トレンドマイクロセキュリティブログ, 2015-04-10)
オンライン銀行詐欺ツール(トレンドマイクロ、特集)
オンライン銀行編(NTT西日本)
平成26年中のインターネットバンキングに係る不正送金事犯の発生状況等について(警察庁、2015-02-12)