金融系マルウェアランキング: Goziがトップに

記事をシェアする:

「IBM X-Force 脅威に対するインテリジェンスの指標 2018 (IBM X-Force Threat Intelligence Index 2018)」のレポートによると、マルウェアに関する昨年の最も注目すべき変化の一つは、Gozi (別名Ursnif) の亜種が「2017 年の最も活発な金融マルウェア」リストの最上位に上り詰めたことです。ここ数年ずっと、世界で最も活発な金融マルウェア・ファミリーは Zeus の亜種でした。

2018 年の第 1 四半期において、金融マルウェアのシェアのさらに大きな部分を Gozi が占めていること、第 2 四半期の初期においてもその傾向が続いていることが認められました。さらに、この組織は新たなトリックを密かに用意していました。2017 年 9 月に X-Force の調査員によって発見されたバンキング・トロイ、IcedID (US) の拡散です。

Gozi の緩やかで着実なトップへの上昇

Gozi のバンキング・トロイが最初に発見されたのは 2007 でした。当時このトロイは、開発者とサイバー犯罪者の限定されたメンバーからなるグループにより操作されていましたが、それ以降進化と急速な感染拡大を続けています。このマルウェアのコードが 2010 年に流出し、その結果このコードが後続の Gozi の運用に再利用されることになりました。その後、このコードは、Neverquest や GozNym (US) といった他のいくつものトロイのコア・コードとして採用されました。

発見から 10 年近くを経て Gozi は拡散し始め、世界で 3 番目に、そして 2 番目に流行しているマルウェア・ファミリーとなりました。この上昇を促進するはたらきをした要素の 1 つとして、2017 年の Neverquest の突然のアクティビティー縮小が挙げられます。Neverquest のトロイは、2013 年以来クライムウェアの分野に参入していた、サイバー犯罪・アズ・ア・サービス (cybercrime-as-a-service) の犯罪組織によるものでした。

Gozi の著しい成長のもう一つの理由は、その地理的範囲の拡大に関係があります。このマルウェアは世界中で大量感染を起こしており、X-Force の調査員は、このマルウェアがそのコード、振る舞いによるデプロイメント、および標的のロケーションに基づき、複数の異なるアクターによって操作されているのではないかと推測しています。例えば 2017 年、Gozi は、北アメリカ、オーストラリア、および日本の確立された標的地域に加え、ブルガリア、ポーランド、スペイン、およびチェコの銀行を標的にした形を表しました。

2018 年には本格稼働

2018 年第 1 四半期の金融クライムウェア分野を振り返ると、Gozi が引き続き最上位のマルウェアしてランクされています。これは当該アクティビティーの 28% を占めており、2017 年の通年データと較べて 5% 増となっています。ただし、Zeus のアクティビティーも昨年度比 4% の増加が見られます。Dridex や Ramnit など、他の金融マルウェア・ファミリーの相対的なアクティビティー量は、それぞれ 4% 減、8% 減と著しく低下しています。

図 1: 最も流行している金融マルウェア・ファミリー 2018 年第 1 四半期 (出典: IBM X-Force)

興味深いことに、当社の北アメリカのインシデント対応チームが主に検出したのは、上記リストで 7 位にランクされた金融マルウェア・ファミリー、QakBot (別名 PinkSlip) と Emotet でした。2017 年、X-Force Incident Response and Intelligence Services の対応担当者は、複数のインシデント対応案件にわたり QakBot に起因する Active Directory (AD) のロックアウト (US)が相次いで発生したことを確認しました。昨年、Emotet マルウェアは、IcedID をはじめとするバンキング・トロイの拡散に利用されていることが判明しました。X-Force の調査によると、Emotet の最も顕著な攻撃地域は米国で、比較的程度は低いけれども英国および世界の他の地域のユーザーも標的にされています。

金融マルウェアの展望

Gozi の継続的な台頭は、サイバー犯罪が商用マルウェアを利用した一過的な犯罪から次の段階へ移行し、2018 年は組織的でビジネスライクな犯罪組織が主導権を握りつつあることを示しています。

では、予期しないことが起きる余地はあるでしょうか? それは常にあります。IcedID のケースがよい例です。昨年の X-Force による発見からから間もなく、IcedID を操る組織が後退し、そのアクティビティーを大幅に縮小する動きを見せ、IcedID は 2017 年の最も流行している金融マルウェアのリストには載りませんでした。しかし、2018 年第 1 四半期には 3% の相対的アクティビティー量で 10 位に浮上しました。最新のサード・パーティー・レポート（英語）では、IcedID の犯罪組織が Gozi の機能と連携して他のマルウェアを拡散してロードしていることを指摘しています。このことは X-Force でも確認済みです。

Gozi のようなバンキング・トロイに関するリスクを最小化する方法については、当社のマルウェア緩和のヒント (US)をご覧ください。また、金融機関も、コグニティブ分析を活用したサイバー犯罪詐欺防止ソリューション を採用することで、これらの脅威から顧客を守る取り組みを行うことができます。

この記事はQ1 2018 Results: Gozi (Ursnif) Takes Larger Piece of the Pie and Distributes IcedIDの抄訳です。