Skip to content

セキュリティマガジン TREND PARK

攻撃者の狙いは「サーバ」、「モバイル」、「人」の脆弱性

~2013年第2四半期 国内外の脅威動向~


オンライン銀行詐欺ツールによる攻撃が急増

前四半期のセキュリティラウンドアップでは、国外で流行するオンライン銀行詐欺ツールが国内に本格流入していることに触れました。今四半期は、この脅威が国内で定着した傾向にあるといえます。
SPNによるオンライン銀行詐欺ツールの検出数は昨年の4~6月と比べて約2.7倍(図)となっており、昨年一年間で検出された数をこの半年で既に上回っています(※5)。また、検出数だけでなく、実際の被害規模も拡大しています。2012年上半期の間で、国内のオンライン銀行における不正送金被害額は2億2000万円を越えており、昨年1年間の被害金額の4.6倍にも上りました(※6)。
国内だけではなく、オンライン銀行詐欺ツールの被害は全世界で増加傾向にあります。米国やブラジルで被害数が顕著(※7)なほか、「FAKEBANK」と呼ばれる、正規のオンライン銀行用アプリを装う不正アプリも登場しました。この不正アプリは、ユーザがアプリ上で入力したアカウント情報を、SMSで攻撃者の用意したサーバに送る手段を使っています。モバイル端末もオンライン銀行詐欺に悪用され始めていることがわかります。

SPNによるオンライン銀行詐欺ツールの検出数

図:オンライン銀行詐欺ツールの検出数推移(2013年トレンドマイクロ調べ)

このような金銭を狙った犯行は、今後もPC、モバイルなど対象を問わず継続、拡大していくことが予想されます。オンライン銀行の利用時に、ログイン以外の目的で認証情報の入力を促す画面に遭遇した場合は、必ず各金融機関へ直接の確認を行うようにしてください。

モバイル端末の脆弱性を感染経路に利用

モバイルに関して注目すべき攻撃事例として、Android™端末の脆弱性に関する事例が2つあげられます。
まず、「マスターキー」と呼ばれるAndroid向け端末のほぼ99%に存在する脆弱性が確認されました。Android用アプリでは、通常、開発者が開発したアプリは、その完全性を担保するものとしてデジタル署名で保証します。そのため、バージョンアップなどの目的で正規アプリに変更を加える場合、正規開発者のみが保有する「署名キー」が必要となります。しかし、この「マスターキー」の脆弱性を利用すると、攻撃者が「署名キー」なしで不正な改変を加えることができるため、インストール済みの正規アプリを不正なバージョンに更新させることも可能となります。

さらに、Android端末の脆弱性を狙った「OBAD」ファミリと呼ばれる不正プログラムが確認されました。感染した場合、端末内のルート権限が奪われ、攻撃者が外部から端末を自由にコントロールすることができます。これは、PCにおける「バックドア」や「ルートキット」といった不正活動にあたります。 この「OBAD」は管理者権限を有効化するため、ユーザに対して承認を促す目的で繰り返しポップアップメッセージを表示させます。さらに、セキュリティソフトによる検知や削除を困難化するために、コードの難読化で自身の隠蔽を行います。これは、非常に多機能、かつ高機能な不正プログラムだといえます。

これらの事例は、PCへの攻撃と同様に、より高度で洗練された攻撃が、モバイルに対しても脅威となり始めていることを表しています。モバイル向けのセキュリティ対策としては、不正プログラム検出という観点だけでなく、怪しいアプリの挙動を評価することができるような、総合的なセキュリティソフトの導入が重要です。また、信頼できるマーケットからアプリを導入することも必要だといえます。

SNS上で行われるアカウントの「乗っ取り」と外部Webサイトへの「誘導」

そのほかに顕著なサイバー攻撃の傾向としては、SNSが攻撃の場となる傾向が、前四半期から続いていることが挙げられます。 攻撃者の狙いは、ユーザのアカウントの「乗っ取り」を行い、情報詐取を行うサイトや、金銭的利益に繋がるワンクリック詐欺サイトへアクセスさせることです。例えば、芸能人などを装ってユーザを巧みに誘導するサクラサイトなどの手法を用いて、SNSの外に誘き寄せて、様々なWebサイトに「誘導」させようとします。

例えば、国内におけるFacebookを悪用した攻撃事例としては、ユーザの所属する組織の構成員や、既に友達である別のユーザを装った名前やプロフィールを用いたアカウントで友達申請を送り、その後、外部サイトに誘導するURLがメッセージで直接送られる事例が確認されています。
このような攻撃事例を予め把握しておき、SNS上での知らない人物からの友達申請を簡単に許諾せず、たとえ実際の知り合いのように見えたとしても、念入りに確認することが必要です。また、SNS上で個人を特定できる情報をむやみに掲載せず、情報の公開範囲については常に適切な範囲かどうかを自身で把握しておきましょう。

また、国外では、様々なサービスで使われる「共通ID」を乗っ取ろうとする手口が確認されています。例えば、Apple IDの窃取を試みるフィッシングサイトが確認されました。この場合、攻撃者が一つのIDの奪取に成功した場合、iTunes、App Storeなど複数のサービスを同時に乗っ取ることができます。
さらに、マルチプロトコルに対応したインスタントメッセンジャーも悪用されており、複数のインスタントメッセンジャーのサービス間連携が悪用され、1つのメッセンジャーから複数のサービスにワームを拡散させる事例を確認しています。

この2つの事例の共通点は、攻撃者が共通IDや単一のメッセンジャーなど、1つの入口から、幅広い範囲への効率的な攻撃を試みている点です。ユーザは、被害を受けた場合に、他への影響度が大きいと思われるサービスやアカウントを特に慎重に取り扱うべきだといえます。また、フィッシング詐欺サイトなどでIDを奪われないよう十分注意するほか、不審なURLをクリックしない、不正サイトへのアクセスを防ぐWebレピュテーション技術を搭載したセキュリティ製品を利用するなど、基本的な対策が重要だといえます。

「3つの脆弱性」を突いた攻撃を受けないための対策とは」

今四半期は「サーバ」、「モバイル」、「人」の3つの脆弱性を狙う国内外の攻撃事例を確認しました。
Webサイトの管理者にとっては、サーバの対策でこれまでも重視されていた、OSやWebサーバのアプリだけではなく、ミドルウェアの脆弱性にも目を向けることが大切だといえます。さらに、Webの改ざんを防ぐための管理アカウントの管理の徹底や、改ざんに早期に気付くためのシステムの変更監視が重要です。ユーザは、Webレピュテーション技術などの利用による、不正サイトへのアクセスブロックなども脅威から身を守るための重要な対策です。

さらに、ユーザ1人1人が利用端末やサービス、様々な対象に対する必要なセキュリティ対策を把握し、普段から攻撃者の騙しの手法にあわないように心構えをすることが重要です。組織内では、ID・パスワードの管理や、SNS上の脅威などについて、従業員が必要な対策について見識を深められるように教育を行うことも重要だといえるでしょう。

  

記事公開日 : 2013.09.04

ページの先頭へ