TrickBot (トリックボット)、年末年始を目前に日本への感染活動を拡大

記事をシェアする:

世界的なセキュリティー研究開発機関であるIBM X-Force のデータによると、最も活発な金融系トロイの木馬型マルウェアであるTrickBot を操る犯罪者組織が、最近になりマルウェア・モジュールの一部を変更するとともに、攻撃を続けています。コードの変更が行われると、その後、世界中の多数の金融機関を標的にしたTrickBotによる攻撃が展開されます。年末年始のホリデーシーズンを前に日本への攻撃も拡大傾向にあります。

ホリデーシーズンに向けて

TrickBotによる攻撃キャンペーンは欧米と英語圏をターゲットとして行ってきたことが知られています。TrickBotが攻撃を世界の他の地域にも拡大していく中、今回初めて攻撃対象として日本の金融機関にフォーカスしていることが確認されました。

日本の消費者は年末年始のショッピング（英語）を検討する中、インターネットによる取引を行う際には、金融機関、電子商取引サイト、仮想通貨交換プラットフォームを対象として拡大傾向にあるTrickBot（英語）による感染キャンペーンに注意しなければなりません。TrickBotの設定ファイルには、数百にのぼる攻撃対象のURLが登録されています。そのほとんどは銀行のURLですが、これまでの典型的な攻撃対象の他に、ガソリン・カード、ホテルチェーン、工業製品会社などのサイトも攻撃対象としてリストされていることを確認しています。

日本での攻撃キャンペーンでは、Emotetボットネットにより配布される悪意のあるスパムメールを介し、TrickBotが端末に送り込まれます。主な攻撃の手法はオンライン・バンキング・サイトにウェブ・インジェクションを行い、不正送金に至るよう誘導するものです。被害者から資金移動の認証情報だけではなく、リアルタイムに攻撃者の用意したサーバーから必要な攻撃情報を取得し、個人情報 (PII)（英語）やクレジットカード情報、PINコードを騙し取るオンザフライ・インジェクションはTickBotの常套手段です。

図1：サービスごとのTrickBot 攻撃のターゲット（出典：IBM X-Force）

今回、TrickBotが日本へ攻撃対象をシフトさせましたが、マルウェアにおいて、東ヨーロッパの犯罪者が日本に狙いを移すことは、初めてではありません。過去には、URLZone や Gozi (Ursnif) といったトロイの木馬型マルウェアが日本を攻撃しています。

図2：最新のTrickBot の攻撃対象地域（出典：IBM X-Force）

日本企業への注意：TrickBot からRyukランサムウェア攻撃への連鎖

TrickBotによる感染はそれ自体が気がかりな傾向ですが、ランサムウェアに対する懸念が高まる中で、日本企業はTrickBot攻撃がRyuk（英語） ランサムウェア攻撃へと変化する可能性についても警戒しなければなりません。実際にEmotet とTrickBotの感染から始まりRyuk攻撃に発展し、企業活動を麻痺させ、身代金として何百万ドル（英語） を要求するという、キル・チェーン（連鎖的な攻撃行動）が確認されています。

図3：Emotet ボットネットとTrickBotの感染を例にしたキル・チェーン

TrickBot について

TrickBotは2016年8月に登場し、実際の市場を利用して開発と不正行為のテストが行われました。当初TrickBotは内部構成、攻撃手法、感染手法がトロイの木馬型マルウェアのDyreにとてもよく似ていました。TrickBotは急速に進化して世界の新たな地域に拡散し、いくつかの言語圏に特化した攻撃を拡大しました。リダイレクション攻撃を開始するなどコード・レベルで進化を続け、犯罪者のサイバー犯罪の目的に合わせてモジュールの変更が続けられました。

トロイの木馬型マルウェアは過去10年で犯罪組織（英語）にとって有効な手段となり、ステルス性が向上するとともにより洗練されたコードへと進化してきました。このクラスで最もアクティブなマルウェアのグローバル・チャートでは、TrickBotが主要な位置にあり、同じく犯罪組織が利用するマルウェアであるGoziやRamnit、IcedIDがそれに続いています。

図4：感染攻撃数に基づく金融系マルウェア（出典：IBM X-Force）

TrickBot 感染リスク軽減のためのヒント

マルウェアへの感染を防ぐことは、社員教育（英語）やセキュリティー・コントロールで対応する組織にとって、日々継続する戦いです。以下は脅威の回避と対応に取り組む組織に役立つIBMセキュリティー対策チームからのヒントです。

• マルウェアはパッチが適用されていないシステムを狙っています。OSとアプリケーションのアップデート・スケジュールを厳密に管理してください。パッチの適用をスキップすることなくリリース後なるべく早く適用してください。パッチの適用ができない端末は他から切り離し対応してください。
• ウイルス対策ソフトウェアや、組込型マルウェア検知機能、電子メールのセキュリティー機能、怪しいコミュニケーション・ソースの排除など、マルウェアを検知するために関連するセキュリティー管理を階層化します。
• 経理担当従業員に役割に基づくトレーニングを行い、TrickBot攻撃や、ビジネスメール詐欺、通信詐欺行為に備えます。
• 不正と判明しているIPやTrickBotのようなマルウェアに関連するIPに対し、URLのブラックリスト化や、ファイヤーウォール上のIPベースのセキュリティー侵害インジケーター(IoCs)、侵入検知システム (IDS)、ウェブゲートウェイ、ルーター、といったセキュリティー関連ツールを利用します。
• 不審な事象、特に不正IPとの通信が行われている場合には、疑わしいイベントをインシデント対応チームへエスカレーションします。

潜在的なランサムウェア攻撃に適切に対応するために、オンラインおよびオフラインでデータの冗長性を保証するバックアップを作成し、最新のバックアップを用いてシステムを正常に回復できるよう定期的にテストを行いましょう。

【翻訳協力】　日本アイ・ビー・エム株式会社 Trusteer Customer Services

【関連情報】

IBM X-Forceの概要はこちらから

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者紹介】

Limor Kessem

IBM エクゼクティブ・セキュリティー・アドバイザー
IBM SecurityのCISOとCISMを務めるLimor Kessemは、サイバー・インテリジェンスに関する最も権威のあるエキスパートの1人です。セキュリティーの提唱者であり、講演者であり、サイバーセキュリティーに関する多くのソート・リーダーシップ的な著者でもあります。セキュリティーの専門家がビジネスリスクを理解して管理するのを支援するLimorは、新たなサイバー犯罪の脅威に対する権威と考えられています。 IBMの複数の研究チームの交差点での彼女のユニークな地位と、今日の脅威の波紋に触れたLimorは、消費者、企業、および業界全体に影響を与える情報セキュリティー・トレンド全般をカバーしています。SNSでは、Limorはセキュリティーに関するトピックスを@iCyberFighterのアカウントからツイートしています。彼女は、またブラジルの柔術にも精通しています。

この記事は次の記事の抄訳です。

TrickBot Widens Infection Campaigns in Japan Ahead of Holiday Season (英語)