金融マルウェア「Ramnit」、日本のオンライン・ショッピング利用者を標的に

記事をシェアする:

世界最大規模のセキュリティー・エキスパート集団 「IBM X-Force」 のリサーチ・チームは、サイバー犯罪グループの活動を継続的に監視しています。X-Forceチームの最近の調査により、金融マルウェア(Banking Trojan)「Ramnit」の攻撃者が日本のオンライン・ショッピング利用者を標的にした活動を活発化させていることが明らかになりました。

今回の分析で、日本国内で感染を広げている Ramnitは、英国の銀行 (英語) やヨーロッパを標的とした攻撃で使われたものとは性質が異なることが判明しました。具体的には、Ramnitの標的が銀行だけではなく、海外のトップ・ファッション・ブランドのオンライン・ショッピングサイトも含まれているという点です。多くの日本人は、海外のファッション・ブランドのオンライン・ショッピングを利用しています。2014年の統計 (英語) では、日本人がアメリカのトップ・ファッション・ブランドのオンライン・ショッピングサイトから購入した金額が16億ドルにのぼっていると報告されています。

銀行も標的に

日本におけるRamnitを利用した攻撃キャンペーンは、ファッション業界に焦点を当てているという特徴がありますが、従来のRamnit同様、オンライン・バンキング、メールサービス、SNSも標的になっています。ゲーム、動画ストリーミング、アダルト・コンテンツも例外ではなく、旅行代理店、携帯電話販売業者、宝石店も同様です。クレジットカードでの支払いが行われる人気のサイトであれば、どのサイトでも標的になり得ます。

図1: 日本への攻撃で使用された Ramnit構成ファイルからの抜粋 (出典: IBM X-Force)

この攻撃キャンペーンで使われたプログラムは、それほど巧妙なものではありませんでした。感染したユーザーが標的のWebサイトを閲覧すると、外部スクリプトがリモート・サーバーからリアルタイムにダウンロードされ、クレジットカード情報の入力を要求します。この外部スクリプトは、いずれのファッションサイトにアクセスした場合でも同一の悪意のあるホストを参照しており、ブランドごとにロゴを変えているだけで全体的なフォーマットは同一のものを使用しているものと推測されます。

図2: 日本への攻撃で使用された Ramnit構成ファイルからの抜粋 (出典: IBM X-Force)

Ramnitの動向

Ramnitは、組織的サイバー犯罪グループが利用することが多い金融マルウェアの一つです。このマルウェアの活動は2010年より確認されており、当初はリムーバブル・ドライブや組織内のネットワーク共有を悪用して感染を広げる自己増殖型のワームでした。そして現在、Ramnitはモジュラー式の金融マルウェアへと姿を変えました。

2011年から2014年の間に Ramnitはサイバー犯罪の領域で勢いを増し、感染活動に利用される金融マルウェアの順位でTop 10に入るまでになりました。北アメリカ、ヨーロッパ、オーストラリアで特に勢力を広げ、それらの地域では多数の求人サイトを標的としていました。これは、不正送金の受け取り口座提供者を増やすことが目的だったと考えられます。その間のRamnitの特徴として、感染者がオンラインのマルウェア対策スキャンサイトや、アンチウィルス製品の Web サイト、サイバー犯罪情報提供サイト等へのアクセスをさせないような設定がなされていた、という点が挙げられます。また、被害者が入力した URL に「cybercrime」や「police」という単語が使われているだけで、Ramnitが活動を開始することもありました。

2015年2月下旬、欧州刑事警察機構 (ユーロポール) と複数の情報セキュリティー・ベンダーが共同して、Ramnitが感染を広げるために利用しているボットネットを停止させる試みが行われました。しかし数日後、残念なことに別のベンダーが、Ramnitのボットネットが依然として活動を続けていることを確認 (英語) しました。このような事態が発生するのは、稀なこと (英語) でした。

2015年12月、IBM Trusteerの調査により、カナダ、オーストラリア、米国、フィンランドの銀行やオンライン決済サイトを標的にした新たなRamnitの活動 (英語) が報告されました。この調査で、Ramnitの攻撃グループはマルバタイジング（マルウェアを広めるためにオンライン広告を利用すること）や 攻撃ツールAngler Exploit Kit (EK)を利用して、感染を広げていることが分かりました。そしてAngler EKの活動停滞以降は、別の攻撃ツールであるRIG Exploit Kitを利用して、マルバタイジング・キャンペーンを継続しています。

ここ数年間、Ramnitはその活動範囲を絞り込み、一度期に標的にするのは限定的な地域となっています。また、攻撃は断続的に行われており、標的地域を次々と変えています。2019年の調査では、攻撃に利用されている金融マルウェアのうちTrickBotに続き2番目に多く利用されています。

図3: 2019年に攻撃に利用されている金融マルウェアのリスト (出典: IBM X-Force)

Ramnitへの感染を避けるために

金融マルウェアは、感染したデバイスに潜伏してしまうと検知するのが困難な場合があります。インターネットやE メール利用時には以下の観点を参考に、対策を行ってください。

• 日本国内で感染を広げているRamnitは、攻撃ツールGrandsoft Exploit kit (英語) を利用することが確認されています。改ざんされたサイトにアクセスした場合、攻撃ツールが稼働するホストにリダイレクトされ、マルウェアをダウンロードさせられる可能性があります。不審なサイトで決済を行わないよう、URLを確認する、無料ゲームやギフト/クーポンのプレゼントを約束するような広告やアダルト・コンテンツ・サイトにアクセスしないよう注意してください。
• ご使用のシステムとアプリケーションを常に最新のバージョンに保ち、使用していないアプリケーションは削除するなどの対策を実施してください。最新版のパッチが適用されているシステムでは、万が一攻撃ツールが稼働するWebサイトに誘導されたとしても、マルウェア感染を避けられる可能性があります。
• マルウェアの感染拡大手法は、日々変化します。今日は攻撃ツール経由で感染を広げていたものが、明日には e-メールを悪用している可能性が考えられます。迷惑メールは削除する、不審なメールに添付されている添付ファイルを開かないようにするなどの対策を行いましょう。マクロが組み込まれた添付ファイルの場合は特に注意し、必ず意図した送信元かを確認してから実行しましょう。
• 偽装したURLを記載したe-メールを送信し、情報窃取を試みる攻撃が確認されています。オンライン・ショッピングを利用する場合、クレジット・カードの明細書やオンライン・アカウントは必ず正式なWebサイトから直接確認するようにしましょう。
• 顧客アカウントの不正使用への対策をご検討される場合は、IBM Trusteer (英語) のユーザーID保護ソリューションをぜひご覧ください。

【翻訳協力】　IBM Tokyo SOC
日本を含めた世界10箇所のセキュリティー・オペレーション・センター (SOC) が連携し、Follow the sunオペレーションにより24時間365日体制でセキュリティー監視サービスを提供しています。

【関連情報】
IBM X-Forceの概要はこちらから
IBM Trusteerの概要はこちらから

【お問い合わせ】
メールでのお問い合わせはこちらから

【著者情報】

Itzik Chimino

Itzik Chimino は Security Intelligence のセキュリティー Web 研究員で、マルウェア分析の豊富な経験を有しています。この業務に就く前、Itzik はシニア・セキュリティー・オペレーション・センターである「F5 Networks」で勤務し、主にマルウェア攻撃からの顧客の保護を行っていました。

この記事は次の記事の抄訳です。
Ramnit Targets Japanese Shoppers, Aiming at Top Fashion Brands (英語)