Press Release

back to Press Releases
2010年3月5日
メッセージラボ ブラジル系銀行狙ったターゲットアタックと、New York Timesになりすましたターゲットアタックを確認
メッセージラボ ジャパン株式会社(以下、メッセージラボ)は、2010年2月後半に2つの新しいターゲットアタックを確認しました。ひとつは、「ブラジル系銀行を狙ったターゲットアタック」、もうひとつは、「New York Timesを狙ったターゲットアタック」です。

メッセージラボは、世界的に著名なマルウェアとスパムの専門家を多数擁する「MessageLabs Team Skeptic™」を有しており、毎日数十億件のWebページ、電子メール、インスタント・メッセージ(IM)の監視を行っています。

今回、メッセージラボが確認し、捕捉した攻撃の詳細は下記の通りです。

*ブラジル系銀行を語り、オンラインバンキングユーザーの情報を盗み出す。 ブラデスコ銀行とシクレディ銀行がサイバー犯罪者のターゲットとなる

メッセージラボインテリジェンスでは、2月中旬に、中南米最大の民間銀行であるブラデスコ銀行のオンラインバンキングユーザーを狙ったターゲットアタックを確認し、さらに2月20日にシクレディ銀行に対する同様の攻撃を確認しました。ブラジルでは、1億8千万を超える人口の約34%がインターネットを利用し、数千万のユーザーが、オンラインバンキングを利用しています。

今回ターゲットアタックに利用されたマルウェアは、ZIPファイルとしてメールに添付される形で送りつけられていました。どちらの攻撃も各銀行のオフィシャルコンタクトを装い、異なったファイルと件名、送り主の情報が使われていましたが、同じ文面を利用し、銀行の名前だけを入れ替えています。
添付された実行ファイルサンプルは、Visual BasicとInno Setupを使い、実行される仕組みになっています。ファイルを実行すると、ブラデスコ銀行とシクレディ銀行のオフィシャルロゴと商標が表示され、受信者にこのシステムが正規のものだと信用させ、アプリケーションをインストールさせるよう仕込まれています。インストールが完了すると、「All Programs」フォルダにエントリが作成され、デスクトップ アイコンが表示されます。このアイコンも、オフィシャルロゴそっくりに作られています。

ユーザーが、指示に従いアプリケーションを実行すると、ウインドウが開き、銀行のオンラインバンキングサイトとまったく同じ画面が現れます。しかし、スクリーンの後ろでは、銀行を狙ったトロイの木馬が発動し、ユーザーのログイン情報をひそかに収集し、サイバー犯罪者に送っているのです。
トロイの木馬は、ユーザーが個人情報を送信する前に、正しいパスワードが入力されたか再度入力して確認するように仕向けています。


* New York Timesになりすまし、読者の個人情報を盗み出す。

メッセージラボインテリジェンスでは、2月24日、アメリカで第3位の発行部数を持つNew York Times新聞になりすまし、オンライン版の読者を狙ったターゲットアタックを確認しました。 このターゲットアタックで攻撃された6つのドメインの全ては、イギリスの企業・組織のもので、公共部門、法律事務所、3つの化学薬品会社、最後のひとつは興味深いことにオンラインギャンブル会社のドメインでした。メールは、ギリシアを発信源としているようです。さらに当攻撃について、ボットネットは関与していないようです。

メールに添付されてきた"Times Reader Plugin.exe"というタイトルのファイルを実行すると、iexplore.exeを利用し、自宅のネットワーク環境上のコンピュータに見せかけた、実際にはデンマークにあるIPアドレス宛てに暗号化されたデータを送信します。

ファイルを実行してもiexplore.exeのプロセスが走るだけで、画面上、IEブラウザのセッションは表示されません。そして、「rundl32.exe」と「rundl32」という2つのファイルを「C:\windows\system32」フォルダに置きます。このウイルスはキーロガー(Key Logger)でrundl32ファイルに実行者が入力した情報を書き出します。しばらくした後、ウイルスは活動を停止し、自分自身を削除します。

シマンテックについて
シマンテックは、今日の情報主導の社会(information-driven world)において、企業および個人の情報の保護と管理を実現するためのセキュリティ、ストレージ、システム管理のソリューションを提供する世界的なリーダーです。シマンテックが提供するソフトウェアとサービスは、あらゆる箇所で発生するリスクから、情報を包括的かつ効果的に保護し、情報が使用/保存されている場所を問わずに確実に保全します。詳細は www.symantec.com/jp をご覧ください。

  • Symantec 社の名称、ロゴは、米国 Symantec Corporation の米国内およびその他の国における登録商標または商標です。
  •  その他製品名などはそれぞれ各社の登録商標または商標です。


メッセージラボについて

メッセージラボは、中小企業からフォーチュン500社まで、世界99か国以上の国々で21,000社以上のクライアントを擁し、メッセージングとWebを対象に統合セキュリティ サービスをご提供するリーディング プロバイダです。メールやWebによるコミュニケーションの保護から管理、暗号化にわたる幅広い管理セキュリティ サービスをご提供しています。詳しくは、メッセージラボのWebサイトでご覧いただけます。 



<参考資料>
ブラジル系銀行を狙ったターゲットアタック 図表


ブラジル系銀行を語り、オンラインバンキングユーザーの情報を盗み出す。 ブラデスコ銀行とシクレディ銀行がサイバー犯罪者のターゲットとなる
【図1 ブラデスコ銀行を装ったメールと添付ファイル】
brazil1【図2 実行時に表示されるブラデスコ銀行のオフィシャルロゴ】
brazil2
【図3 実行時に表示されるログイン画面(ブラデスコ銀行)】
brazil3
【図4 実行時に表示されるログイン画面(シクレディ銀行)】
brazil4
【図5 実行時に表示されるログイン画面(シクレディ銀行)】
brazil5


New York Timesを狙ったターゲットアタック 図表
New York Timesになりすまし、読者の個人情報を盗み出す。

【図1 New York Timesを装ったメール】
newyorktimes
【図2ファイル実行時に表示される画面】
newyorktimes2