Eurograbber攻撃の事例研究 - チェック・ポイント・ソフトウェア

Eurograbber攻撃の事例研究:
マルウェアはいかにして3,600万ユーロの預金を盗み出したのか
2012年12 月
執筆
Eran Kalige
セキュリティ・オペレーション・センター責任者
Versafe
Darrell Burkey
IPS 製品担当ディレクター
チェック・ポイント・ソフトウェア・テクノロジーズ
[Protected] For public distribution
目 次
I.
概要
3
II.
Eurograbber攻撃の概要
4
III.
Eurograbber攻撃の詳細
5
A. 感染プロセス
5
B. 預金の不正送金
IV.
V.
9
Eurograbber攻撃への対策
10
A. チェック・ポイント製品によるEurograbber攻撃対策
10
B. Versafe 製品によるEurograbber攻撃対策
12
C. オンライン銀行利用者が実施できる対策
13
結論
14
VI.
Check Point Software Technologiesについて
14
VII.
Versafeについて
15
VIII.
付録 A:統計情報
16
付録 B:攻撃者のデータ保管サーバとC&C サーバに関する詳細
17
Page
2
IX.
November 2012
[Protected] For public distribution
I. 概要
本書は、段階的に実行される、ある高度な標的型攻撃についての事例研究です。この攻撃では、ヨーロッパに拠点を置く銀行の
利用者3万人の口座から、推定 3,600万ユーロ超の預金が盗み出されました。イタリアを発端にドイツ、スペイン、オランダへ
と飛び火し、オンライン銀行の利用者数万人がマルウェアに感染するという事態に発展しました。攻撃は完全に水面下で行わ
れたため、被害に遭ったユーザは、トロイの木馬への感染やオンライン・バンキングのセッション乗っ取り、口座からの預金
窃盗に全く気付いていませんでした。
この一連の攻撃は、発見者であるVersafeとチェック・ポイントによって
「Eurograbber」と名付けられています。Eurograbber
攻撃で使用されたマルウェアは、
「ZITMO
(Zeus-In-The-Mobile)」と呼ばれるトロイの木馬の亜種です。比較的最近になって
出現した亜種ですが、極めて広範囲に感染を広げています。現在のところ、Eurograbber攻撃はユーロ圏内に留まっていますが、
同様の攻撃が EU 圏外の銀行に対して行われる可能性は否定できません。被害に遭った銀行各社に対しては、すでに攻撃が
行われている旨の報告がなされており、Versafeとチェック・ポイントは、司法当局と緊密に連携して、進行中の攻撃および今後
発生する攻撃を阻止するための対策を進めています
(本書執筆時点)
。
攻撃は、オンライン銀行の利用者が使用しているコンピュータとモバイル・デバイスの両方をターゲットに、段階的に実行され
ます。両デバイスにトロイの木馬がインストールされると、オンライン・バンキングのセッションが攻撃者によって完全に監視され、
不正に操作されます。取引保護のために銀行が導入している2ファクタ認証も役に立ちません。それどころか、攻撃者はこの
仕組みを利用して不正な送金を正式に認証させます。またモバイル・デバイスに感染するトロイの木馬は、広大な
「市場」をター
ゲットに取り込むべく、BlackberryとAndroid の2 大プラットフォームに対応しています。実際、法人ユーザと個人ユーザの
両方が被害に遭っており、1件あたり500〜25万ユーロの預金が不正送金されています。
本書では、このEurograbber攻撃を詳細に分析し、感染から不正送金に至る攻撃プロセス全体を順に追っていきます。 最後に、
Page
3
Eurograbber攻撃への対策に役立つチェック・ポイントとVersafe の製品を紹介しながら、被害を防ぐ方法を概説します。
November 2012
[Protected] For public distribution
II. Eurograbber攻撃の概要
銀行各社は、オンライン・バンキング・サービスを開始して以降、オンライン取引のセキュリティ強化に努めてきました。サー
ビス開始当初、利用者は口座番号とパスワードを入力するだけでオンラインの口座にアクセスしていました。しかし認証情報の
取り扱いに無頓着な多くのユーザは、簡単に破られる平易なパスワードを使用するため、1つの要素で賄う1ファクタ認証を
容易に回避され、アカウントを乗っ取られるおそれがあります。そこで銀行各社は、問題改善のため第 2の認証手法を追加し、
ユーザの身 元とオンライン取引の完 全 性を検 証するようにしました。オンライン取引の開始時に、TAN
(Transaction
Authentication Number)
と呼ばれる取引認証番号をユーザの携帯電話にSMS で送信する仕組みを取り入れたのです。
ユーザは、オンライン・バンキングのセッション中に表示される画面にそのTANを入力して、自身が正規の利用者であると証明
してから、取引を開始します。しかし後述するように、Eurograbber攻撃は、この2ファクタ認証さえ突破できるように工夫
されていました。
Eurograbber攻撃は、この目的のためにカスタマイズされたトロイの木馬をユーザのコンピュータにダウンロードさせる段階から
始まります。ダウンロードは、ユーザが不正な Webサイトにアクセスしたときや、フィッシング・メールに記載されたリンクを
クリックしたタイミングで行われます。その後、ユーザがオンライン銀行のアカウントにログインした時点で、トロイの木馬
(Zeus、SpyEye、CarBerp のカスタム版)
が認証情報を盗み出します。
Eurograbber攻撃が銀行の2ファクタ認証を突破し、見事な標的型攻撃を披露するのはこの後です。Eurograbberは、コン
ピュータにトロイの木馬を感染させた後、ユーザに携帯電話番号の入力を求める最初のオンライン・バンキング・セッションに
不正な命令を挿入します。そしてユーザに対し、入力した電話番号に送られてくるSMSメッセージに従って、モバイル・デバイスで
「バンキング・ソフトウェアのセキュリティ・アップグレード」を行うように要求します。ユーザが SMSの指示に従って
「セキュリ
ティ・アップグレード」を行うためのリンクをクリックすると、トロイの木馬
「ZITMO
(Zeus-In-The-Mobile)」の亜種がダウン
ロードされます。次に、トロイの木馬が銀行から送られてくる本物のSMSを傍受。SMSには、銀行の2ファクタ認証において
最も重要な役割を果たす取引認証番号
(Transaction Authentication Number:TAN)
が記載されており、トロイの木馬は、
入手したこのTANを使用して新たな取引セッションを開始、ユーザの口座から密かに送金を行うという仕組みです。この一連の
攻撃は完全に水面下で行われるため、ユーザは察知できません。
「セキュリティ・アップグレード」が完了すると、そのユーザの
オンライン・バンキング・セッションは攻撃者の監視および制御下に置かれます。トロイの木馬が行ったオンライン取引に、不正
行為の証拠は一切残りません。
複数の段階にわたって行われるEurograbber攻撃を管理するため、攻撃者は指令
(C&C)サーバを使用していました。C&C
サーバは、トロイの木馬から送られてくる情報を受け取り、保存して管理するほか、攻撃を指揮する役割を担います。収集した
情報は、後で攻撃に使用するためにSQLデータベースに格納されます。またC&C サーバの特定を妨害するため、攻撃者は複数
のドメイン名とサーバを使用しており、その中には追跡を困難にするプロキシ・サーバも含まれていました。万が一 C&Cサーバを
Page
4
特定されてもすぐさま別のサーバに乗り換え、攻撃や不正送金を継続できるようにしていたのです。
November 2012
[Protected] For public distribution
III. Eurograbber攻撃の詳細
攻撃の仕組み
データ保管サーバ
インターネット
銀行サイト
このセクションでは、攻撃で使われるメッセージやコードのスクリーンショットを紹介しながら、Eurograbber攻撃のプロセスを
順番に詳しく解説します。攻撃で使用されるメッセージは、実際にはその国の母語で記述されていますが、本書では英語に置き
換えています。
A. 感染プロセス
オンライン銀行利用者のコンピュータと、モバイル・デバイスにマルウェアが感染するプロセスを説明します。
手順1:
ユーザがフィッシング・メールやスパム・メール、Webサイトに記載された不正なリンクをクリックすると、コンピュータが Zeus
というトロイの木馬のカスタム版に感染します。トロイの木馬のダウンロードは、リンクをクリックした後で自動的に行われるため、
ユーザは感染を察知できません。ダウンロードされたトロイの木馬は、ユーザがオンライン銀行のアカウントにログインする
まで待機します。
手順 2:
JavaScriptを挿入します。このJavaScriptは、
「セキュリティ・アップグレード」が必要だというメッセージを表示し、手順に従って
Page
アップグレードを行うようユーザに要求します。
5
ユーザがオンライン銀行のアカウントにログインすると、トロイの木馬はそのセッションを傍受、表示されるページに不正な
November 2012
[Protected] For public distribution
モバイル・デバイスのOSを選択
するよう求められます。
モバイル・デバイスの電話番号
を入力するよう求められます。
ページに挿入されるパラメータは、コード中では次のように記述されています。
モバイル・デバイスの
OS の種類
手順 3:
トロイの木馬は、ユーザが入力したモバイル・デバイスに関する情報を、次のコードでデータ保管サーバに送信します。いずれ
この情報は、以降の攻撃で使用されます。
手順 4:
モバイル・デバイスに関する情報が保管サーバに送信された時点で、攻撃は次の段階に移り、ユーザのモバイル・デバイスに
SMSが送信されます。SMSには、記載のリンクをクリックして
「セキュリティ・アップグレード」を行うように書かれています。
コードには、ユーザにクリックさせるリンク、モバイル・デバイスの電話番号、そしてアプリケーションの言語が記述されています。
Page
6
ユーザがリンクをクリックすると、モバイル・デバイスの OSに対応したバージョンのトロイの木馬がダウンロードされます。次の
November 2012
[Protected] For public distribution
SMS 送信システムの場所
モバイル・デバイスの電話番号
アプリケーションの言語
次に示すのは、イタリアの銀行利用者に送られるSMSメッセージです。リンクをクリックしてオンライン・バンキングのセキュリ
ティ・ソフトウェアをアップグレードするよう、イタリア語で書かれています。リンクをクリックすると、モバイル・デバイスにトロイ
の木馬がインストールされます。
翻訳:
「無料の暗号化
Android ユーザの場合
ソフトウェアを
Blackberryユーザの場合
インストールするには、
このリンクを
使用してください」
手順 5:
SMS がモバイル・デバイスに送信されるのと同時に、その SMS の手順に従ってシステム・ソフトウェアをアップグレードし、
セキュリティを強化するよう求める次のメッセージがコンピュータの画面に表示されます。またこのメッセージでは、アップグレード
終了後にインストール検証コードをテキスト・ボックスに入力し、モバイル・デバイスでのアップグレード完了を通知するよう要求
されます。この仕組みもまた、Eurograbber攻撃の巧妙さを示す一例と言えます。なぜなら攻撃者は、検証コードが入力され
れば、そのユーザのオンライン口座が乗っ取り可能な状態になったと確認できるからです。次のメッセージは、イタリア語からの
Page
7
翻訳です。
November 2012
[Protected] For public distribution
SMS が届いていない場合は、モバイル・デバイスのWebブラウザに次のWebアドレスを手動入力し、
アプリケーションをインストールしてください: http://a*******.net/*******.apk
アプリケーションがインストールされたら、画面に表示される検証コードを次のテキスト・ボックスに入力してください。アクティ
ベーション・コード:
手順 6:
モバイル・デバイスでのインストールが完了すると、正しくインストールが実行されたと通知する、次のメッセージがユーザの母語
で表示されます。そしてメッセージ中の検証コードを、コンピュータの画面で入力するよう促されます。
メッセージはユーザの
使用言語によって
検証コード
変化します。
手順 7:
そして最後に、
「セキュリティ・アップグレード」が正しく完了し、オンライン・バンキングを利用できる状態になったと通知する
メッセージがコンピュータに表示されます。次に、この処理を行うコードの抜粋を示します。
「携帯電話に必要なセキュリティはすべて追加されました」
Page
8
エラー・メッセージ
「アプリケーションは正しくインストールされました。これ以降は、サイトを以前と同じようにご利用いただけます」
November 2012
[Protected] For public distribution
この段階で攻撃者は、コンピュータとモバイル・デバイスへの感染に成功し、以降に行われるオンライン・バンキングを乗っ取る
準備が整ったことになります。
B. 預金の不正送金
図 2: 金銭の流れ
運び屋口座
C&C サーバ
オンライン銀行利用者のモバイル・デバイス
銀行サイト
オンライン銀行利用者
ユーザのコンピュータとモバイル・デバイスにインストールされたトロイの木馬は、ユーザが次にオンライン銀行のアカウントに
アクセスするまで潜伏します。
手順1:
ユーザがオンライン銀行のアカウントにログインします。
保有する
「運び屋」役の口座に送金する操作を実行させます。
November 2012
[Protected] For public distribution
Page
その後直ちに、ユーザのコンピュータに感染させたトロイの木馬に攻撃者が指令を出し、口座にある預金の一定割合を、自身が
9
手順 2:
手順 3:
送金操作が行われると、銀行サイトはユーザのモバイル・デバイスにSMS 経由で TANを送信します。
手順 4:
モバイル・デバイスにインストールされたトロイの木馬がこのSMSを傍受、ユーザの目に触れないようにして、攻撃者が多数保有
するいずれかのリレー用電話番号に転送します。SMSはこの番号からデータ保管サーバに転送され、他のユーザ情報と共に
C&C サーバのデータベースに格納されます。SMSをリレー用電話番号に転送するのは、追跡を困難にするためです。
手順 5:
コンピュータにインストールされたトロイの木馬がデータ保管サーバからこのTANを取り出し、銀行サイトに送信して、ユーザの
口座から運び屋口座への不正送金を完了します。ユーザのコンピュータの画面には、段階を経て行われる操作に関する情報は
一切表示されないため、ユーザは今まさに不正行為が行われていることに全く気付きません。
この段階で、ユーザの気付かぬうちに口座から預金が盗み出されたことになります。攻撃者はこの後、運び屋口座を介して送金
された預金を手に入れます。不正な送金プロセスは、ユーザが銀行のアカウントにログインするたびに繰り返されます。
IV. Eurograbber攻撃への対策
Eurograbber攻撃の標的はオンライン銀行の利用者であり、銀行自体ではありません。被害を防ぐためには、ユーザとオン
ライン銀行間のネットワークと、ユーザがオンライン・バンキングに利用するコンピュータの両方で最新のセキュリティ対策を講
じることが重要です。このセクションでは、チェック・ポイント製品とVersafe 製品が Eurograbber攻撃対策にどう役立つのか、
オンライン銀行のユーザが Eurograbber のような攻撃からコンピュータを守るにはどうすれば良いかを説明します。
A. チェック・ポイント製品によるEurograbber攻撃対策
Eurograbber攻撃の一連の流れの中には、攻撃を検出して遮断できるいくつかのポイントがあります。段階的に実行される
Eurograbber攻撃への対策としては、
「多層防御」戦略に基づく包括的なアプローチが最も効果的です。このセクションでは、
チェック・ポイント製品がいかにして多層防御を実現し、感染前〜感染後に至るプロセス全体で Eurograbber攻撃を検出、
遮断するかを説明します。
1. 感染前の段階
Eurograbber攻撃で使用されるマルウェアは、多種多様なWebサイトにホストされています。ユーザがこのようなマルウェアへ
のリンクをクリックすると、トロイの木馬
「Zeus」のカスタム版がユーザのコンピュータに自動ダウンロードされます。
http://blackberryapp.eu/********d.jad
Page
10
https://tocco.mobi/***********/zertifikat.apk
November 2012
[Protected] For public distribution
https://tocco.mobi/***********/zertifikat.jad
https://tocco.mobi/***********/
http://androidversionf*******/sicurezza.apk
http://blackberryapp********ificato.jad
■
Check Point Anti-Virus Software Blade
Check Point Anti-Virus Software Bladeは、不正なURLを検出し、そのURLへのリクエストをネットワーク単位で
遮断して、ユーザのコンピュータのマルウェア感染を防ぎます。またこの方法で遮断できない不正なWebサイトにユーザ
がアクセスしようとした場合には、リクエストに対する応答のMD5ハッシュを計算し、その結果に基づいてマルウェアの
ダウンロードをブロックします。
■
Check Point IPS Software Blade
Check Point IPS Software Blade は、ネットワークに侵入しようとするZeusを複数のシグネチャに基づいて検出、
遮断し、コンピュータへのダウンロードおよびインストールを未然に防ぎます。
■
Check Point Endpoint Security
Check Point Endpoint Security のアンチマルウェア機能は、Zeus の亜種を検出、通知、遮断し、コンピュータへの
ダウンロードおよびインストールを防止します。
■
チェック・ポイントのZoneAlarm 製品
チェック・ポイントのZoneAlarm 製品は、ホーム・ユーザ向けのセキュリティ・ソリューションです。ZoneAlarmFree
Antivirus + Firewall など、アンチウイルス・ソフトウェアが同梱されたすべてのZoneAlarm 製品は、Zeus の亜種を
検出し、コンピュータへの感染を防ぐことができます。Eurograbber攻撃で使用されるZeusにも対応しており、ユーザの
コンピュータにダウンロードおよびインストールされる前に、このマルウェアを検出、遮断し、ユーザに通知します。
2. 感染後の段階
Eurograbber攻撃でユーザのコンピュータに感染した Zeusは、感染プロセスを完了させ、オンライン銀行の口座から不正送金
を行うために、C&C サーバに接続しようとします。
Check Point Anti-Bot Software Blade
Check Point Anti-Bot Blade は、通信シグネチャに基づいてボットによる通信を検出、遮断します。Eurograbber
攻撃の場合、Anti-Bot Bladeは、ボットが IPアドレスの解決際に以下のドメインに対して行うDNSリクエストを検出して
遮断します。C&C サーバへの通信に対しては、ネットワーク・シグネチャを使用します。
Eurograbber 攻撃で使用されるデータ保管サーバのドメイン:
https://fin*****ke.com
http://itech*****er.com
11
https://to*****l.com
Page
■
November 2012
[Protected] For public distribution
https://sec*****.com
ネットワーク・シグネチャ:
Dow*****/zertifikat.
script/*****hp/r*****e̲zeus
■
Check Point Threat Cloud
Check Point Threat Cloud™は、最新の攻撃を検出、遮断するために必要なリアルタイムのセキュリティ情報とシグネ
チャをセキュリティ・ゲートウェイSoftware Bladeに配信します。この機能により、Eurograbber攻撃で主な役割を果
たすマルウェアとボットの通信を検出することができます。Zeusをはじめとする各種マルウェアの新しい亜種が出現した
場合は、その亜種に対応したセキュリティ機能が Threat Cloudから配信されるため、ゲートウェイのセキュリティは常に
最新の状態に保たれます。
感染から攻撃までを段階的に実行するEurograbber攻撃の手口は、非常に複雑で巧妙に仕組まれています。その意味で
Eurograbberは、まさに多層防御戦略に基づく包括的なアプローチが効果的に機能する事例と言えます。Eurograbberのような
攻撃に対する包括的なセキュリティを実現するには、ネットワークとコンピュータの両方に、チェック・ポイントの製品を多層的に
導入します。
B. Versafe 製品によるEurograbber攻撃対策
Versafe の製品は、Eurograbber攻撃をリアルタイムに検出して遮断することができます。Versafe 製品の一連のコンポー
ネントをWebサイトに組み込むと、Webサイトにログインするすべてのオンライン・ユーザを透過的に保護できるようになります。
この際、ソフトウェアのダウンロードやWebサイトでの手続きなどをエンドユーザに実行してもらう必要は一切ありません。
Versafe のソリューションをWebサイトに導入すると、Eurograbber のようにトロイの木馬や各種マルウェアを使用する攻撃
から直ちにユーザを保護できます。Webブラウザやデバイス
(PCやスマートフォン、タブレット端末など)
の種類を問わず、あら
ゆるユーザに対応しています。
ヨーロッパの大手銀行:
「Versafe 製品は、
わずか2日で総額 50 万ユーロの不正取引を検出し、阻止してくれました。しかも
これは、製品を導入してすぐのことです。試験運用期間の最初の2日で投資金額を回収できるなど、これまでのセキュリティ製品
ではあり得ない効果でした」
■
Versafe vHTML
Versafe vHTMLは、エンドユーザに表示されるWeb ページの改ざんやスクリプトなどの挿入をリアルタイムで検出します。
このような改ざんが行われた場合、vHTMLはそのユーザについてのレポートを自動的に生成し、Webサイトの管理者に
配信します。 管理者はこの情報に基づいて問題の口座を監視し、不正取引を防ぐことができます。またVersafe は、
攻撃者が使用しているデータ保管サーバの閉鎖に向けた活動を開始します。
Page
12
■
Versafe vCrypt
Versafe vCrypt は、エンドユーザからサーバに送信される機密データをアプリケーション・レベルで暗号化します。
これにより、ネットワーク・レベル
(SSLレベル)
にとどまらず、サーバに送信されるすべての情報を暗号化することが可能
になります。Versafe vCryptをWebサイトに導入すると、認証情報の盗難を防止して、Eurograbber攻撃を無力化
できます。
November 2012
[Protected] For public distribution
■
Versafe vToken
Versafe vTokenは、ユーザのアカウントで行われる自動操作を検出します。本来は手動で行われるはずの取引が自動
実行されている場合に、オンラインで検出することができます。管理者は、この情報に基づいて自動化された取引を
リアルタイムで遮断し、Eurograbberによる金銭的被害の発生を防止できます。
C. オンライン銀行利用者が実施できる対策
オンライン銀行の利用者が、Eurograbber のような攻撃からコンピュータを保護するために実施できる対策は 2 種類あります。
1. 定期的にアップデートを行う
攻撃者は、伱あらば既知のセキュリティ・ホールを悪用しようと狙っています。Eurograbber攻撃対策としては、オンライン・
バンキングに利用するすべてのコンピュータで定期的にアップデートを実施することが重要となります。新たに公開されたベン
ダー・パッチやセキュリティ・シグネチャを確実に適用すれば、コンピュータのセキュリティを最新の状態に保つことができます。
定期的にアップデートが必要なコンポーネントを次に示します。
■
オペレーティング・システム
■
アンチウイルス・ソフトウェア
■
Java
■
Adobe Flash
■
Adobe Reader
■
Webブラウザ
■
ファイルのダウンロードや Webサイトの閲覧に使用するその他のツールやプログラム
攻撃者が使用するケースが多いマルウェアの感染手法として、
「ドライブバイ・ダウンロード」が挙げられます。Webサイトを
閲覧しているユーザのコンピュータにマルウェアを密かに自動ダウンロードさせるというテクニックで、Eurograbber攻撃の
被害に遭ったユーザの何割かは、この手法でマルウェアに感染したと考えられています。コンピュータにインストールされて
いるソフトウェアやセキュリティ製品を最新の状態に維持すれば、ドライブバイ・ダウンロードのような新しい手法に対する
最も効果的な対策になります。また、アンチウイルス・ソフトウェアによる定期的なスキャン実行も重要です。すでにコン
ピュータに感染しているマルウェアを検出し、駆除することができます。
2. 一方的に送られてきた電子メールに応答しない
Eurograbber攻撃では、ソーシャル・エンジニアリングが重要な役割を果たしています。
「オンライン・バンキングのセキュリ
ティを改善するため、このリンクをクリックしてください」などと要求する電子メールは、パンドラの箱を開ける伴であり、クリック
した途端に攻撃プロセスが始まります。フィッシングと呼ばれるこの電子メールを、ユーザが
「承諾なしに一方的に送られてきた」
と認識し、リンクをクリックしなければ、コンピュータのマルウェア感染もなく、Eurograbber攻撃も始まりません。金融機関
を名乗るこの種の電子メールには、決して対応しないことが重要です。電子メールが本物だと思われる場合は、その金融機関に
直接問い合わせてみてください。ただしその際には、電子メールに記載されている問い合わせ先ではなく、Webサイトなど別の
Page
13
媒体に掲載されている問い合わせ先に連絡します。そして電子メールの件を説明し、担当者の指示に従ってください。
November 2012
[Protected] For public distribution
OSやアプリケーション、セキュリティ・ソフトウェアを最新の状態に維持し、一方的に送られてきた心当たりのない電子メールや
Webサイトのリンクを無闇にクリックしないというベスト・プラクティスを実践すれば、それだけでもマルウェアへの感染防止策
として大きな効果があります。
V. 結論
Eurograbberは、水面下で不正行為を実行し、大きな利益を上げた高度な標的型攻撃の代表例です。特定のターゲットに狙い
を定める標的型攻撃は現実に存在する脅威であり、この問題はしばらく解決されそうにありません。その見返りの大きさに動機
付けられたサイバー犯罪者は、こぞって攻撃手法の洗練化に力を注いでいます。このためコンピュータを利用する個々のユーザ
だけでなく、オンラインで重要な事業を展開する企業
(とりわけ金融機関)
にも、標的型攻撃に十分な注意を払い、ビジネス基盤
のセキュリティを最大限に強化することが求められます。またユーザは、デスクトップ PCやノートPC、タブレット端末など自身
が使用するすべてのデバイスで可能な限りのセキュリティ対策を実施し、ソフトウェアやセキュリティ・パッチを最新の状態に維持
する必要があります。
オンライン銀行の利用者は、コンピュータを常に最新の状態に維持すると共に、最も安全な環境からオンライン・バンキングを
利用するよう努めなければなりません。OS、アプリケーション、セキュリティ製品を最新の状態にアップデートしたコンピュータと、
多層防御のセキュリティ対策を施したネットワークの組み合わせが、Eurograbber のような攻撃に対する最も効果的な対策と
なります。
VI. Check Point Software Technologiesについて
チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド
(www.checkpoint.com)
は、インターネット・セキュリティに
おけるトップ企業として、セキュリティの複雑さと総所有コスト
(TCO)
を低減しつつ、あらゆるタイプの脅威からお客様のネット
ワーク環境を確実に保護するための妥協のないセキュリティ機能を実現しています。チェック・ポイントは、FireWall-1と特許
技術のステートフル・インスペクションを開発した業界のパイオニアです。チェック・ポイントは、革新的セキュリティ技術である
Software Bladeアーキテクチャをベースとした一層の技術革新に努めています。Software Bladeアーキテクチャは、導入先
に合わせカスタマイズすることで、あらゆる組織のセキュリティ・ニーズにも的確に対応できる、柔軟でシンプルなソリューション
の構築を可能にします。チェック・ポイントは、技術偏重から脱却してセキュリティをビジネス・プロセスの一環として定義する
唯一のベンダーです。チェック・ポイント独自のビジョン3D Securityは、ポリシー、ユーザ、実施という3つの要素を統合して
情報資産の保護を強化し、導入環境のニーズに合わせて高度なセキュリティを確保できるようにします。チェック・ポイントの
顧客には、Fortune 100および Global 100 の全社をはじめ、大小さまざまな規模の組織が含まれています。数々の受賞歴の
あるチェック・ポイントのZoneAlarmソリューションは、世界中で数百万にも及ぶお客様をハッカー、スパイウェア、および
情報窃盗から未然に保護しています。
CHECK POINT
5 HaʼSolelim Street, Tel Aviv 67897, Israel |
Tel: 972-3-753-4555 | Fax: 972-3-624-1100 | Email: info@checkpoint.com
Page
14
www.checkpoint.com
November 2012
[Protected] For public distribution
VII. Versafeについて
Versafe
(www.versafe-login.com/)
は、フィッシングやトロイの木馬、ファーミングなどの攻撃を阻止することにより、オン
ラインでの個人情報窃盗や金銭的被害を防止します。また、オンライン詐欺対策と不正なコンテンツをホストするWebサイト
の閉鎖にも取り組んでいます。Versafe の製品やサービスは、既存の詐欺対策技術を補完する役割を担っており、前述の不正
行為に対するお客様の保護を強化し、全体として包括的な防御メカニズムを実現します。Versafe の製品はソフトウェアまたは
サービスとして提供されており、カスタマイズによりお客様環境固有のニーズに応えることが可能です。
オンライン・サービスを提供している金融機関が Versafe のソリューションを導入すれば、従来は対策が不十分だった領域を
管理して、顧客のパーソナル・コンピュータに潜む脅威を無効化できます。この際、エンドユーザ側のコンピュータにソフトウェア
をインストールする必要はありません。Versafe のソリューションは透過的に動作するため、ユーザの操作に影響を与えること
がなく、金融機関のWebサイトにシームレスに導入できます。他に類を見ないVersafe 独自のソリューションは世界中の金融
機関に導入されており、社会的信用の保護と多額の経済的損失を回避する大きな効果が実証されています。また本書でも言及
されているように、Versafeは、トロイの木馬やウイルスなどのマルウェアを利用したサイバー犯罪に関するプロフェッショナル・
サービスと高度なリサーチ・サービスを提供しています。
VERSAFE Ltd | Secure Login
11 Moshe Levi St. (UMI Building) Rishon Le Zion | Israel
Tel: +972-3-9622655 | Fax: +972-3-9511433 | info@versafe-login.com
Page
15
www.versafe-login.com
November 2012
[Protected] For public distribution
付録 A:統計情報
被害を受けた銀行の数(国別)
■イタリア 16行 50%
0%
■ドイツ 6行 19%
■オランダ 3行 9%
■スペイン 7行 22%
被害を受けたユーザの数
(国別)
■イタリア 1万1893人 39%
9%
■ドイツ
6,130人 20%
■
■オランダ 940人 3%
■スペイン 1万1,352人
人 38%
■イタリア
1,638万4,612
被害額
(ユーロ、
国別)
■ドイツ
1,286万2,109
■スペイン
587万2,635
Page
16
■オランダ
117万2,889
November 2012
[Protected] For public distribution
付録 B:攻撃者のデータ保管サーバとC&C サーバに関する詳細
口座取引や認証、ユーザに関する情報はすべて攻撃者のデータ保管サーバで管理されます。
既知のデータ保管サーバ
https://fina****ke.com
https://itec*****ter.com
攻撃者のデータ保管サーバには、口座番号や認証情報、各取引で使用されたワンタイム・パスワードなど、各ユーザに関する
すべての情報が保管されます。データ保管サーバのレポートを次に示します。ターゲットとなった銀行、攻撃の実行日時、ユーザが
使用していたモバイル・デバイスに関する情報が表示されています。
ユーザの詳細
Page
17
攻撃を受けた
ユーザ
November 2012
[Protected] For public distribution
特に大きい
取引金額
特に大きい
取引金額
このように、実行された取引が一目で確認できます。
トロイの木馬によって取得され、データ保管サーバに保存されていた情報
・
・
・
・
・
・
・
ユーザ名
パスワード
モバイル・デバイスの電話番号
モバイル・デバイスの種類とベンダー
ユーザのIPアドレス
ログインの日時
Page
18
トロイの木馬
(ZITMO)
のインストール・ステータス
November 2012
[Protected] For public distribution
19
Page
November 2012
[Protected] For public distribution
Eurograbber攻撃の事例研究:
マルウェアはいかにして3,600 万ユーロの預金を盗み出したのか
©2013 Check Point Software Technologies Ltd. All rights reserved.
※この技術資料記載の会社名や製品名は、各社の商標または、登録商標です。
※記載された製品仕様は予告無く変更される場合があります。最新の仕様については、弊社または販売会社まで、直接お問い合わせ下さい。
P/N EWF10N0 2013.01