サイバー脅威
南米諸国の金融システムを脅かすバンキングトロジャンMekotio
最近、バンキングトロジャン「Mekotio(メコティオ)」を利用した攻撃が急増しています。本稿では、銀行などの金融システムを狙うこのトロイの木馬型マルウェア概要と動作について解説します。
はじめに
バンキングトロジャン「Mekotio(メコティオ)」は、2015年頃から活動して巧妙な手口で金融システムを狙うマルウェアです。主に南米諸国を標的とし、被害を受けた組織から機密情報、特に銀行の認証情報を窃取することを目的としています。南米地域で生まれたこのマルウェアは、ブラジル、チリ、メキシコ、スペイン、ペルーで特に猛威を振るっています。興味深いことに、Mekotioは、「Grandoreiro」など、他の有名な南米諸国のバンキングトロジャンと共通の起源を持つとされています。なお、Grandroreiroは今年初めに法執行機関によって摘発されました。Mekotioの主な感染経路はフィッシングメールで、巧妙なソーシャルエンジニアリング手法を用いてユーザに不正なリンクや添付ファイルを開かせようとします。
トレンドマイクロの顧客の間でMekotioを使用した攻撃が最近急増しているため、本稿ではこのバンキングトロジャンの概要と動作について詳しく解説します。
Mekotioの動作方法
図1は、Mekotioの感染経路における攻撃チェーンを示しています。
Mekotioは主に、税務当局を装った偽のメールを通じて拡散します。これらのメールは、受信者に未払いの税金があると偽って伝え、ZIPファイルの添付か悪意のあるサイトへのリンクを含んでいます。ユーザがこのメールに反応すると、Mekotioがダウンロードされ、パソコンで実行されてしまいます。トレンドマイクロの調査では、添付ファイルは悪意のあるリンクを含むPDFファイルでした。
Mekotioが実行されると、まずシステム情報を収集し、指令元となるコマンド・アンド・コントロール(C&C)サーバと接続します。このサーバは、Mekotioに具体的な指示や実行すべきタスクのリストを送信します。
システムに侵入した後、Mekotioは以下のような悪質な活動を行います:
- 認証情報の窃取: Mekotioの最大の目的は銀行の認証情報を盗むことです。本物の銀行サイトそっくりの偽のポップアップを表示し、ユーザを欺いて情報を入力させ、それを密かに収集します。
- 情報収集: Mekotioはパソコンの画面を撮影したり、キーボードの入力を記録したり、クリップボードのデータを盗んだりすることができます。
- 永続的な感染: Mekotioは感染を長期化させるために、パソコンの起動時に自動的に実行されるよう設定したり、定期的に動作するタスクを作成したりするなど、様々な手段を講じます。
- 不審なメールに注意を払う:身に覚えのないメールを受け取ったら要注意です。送信者のアドレスをよく確認し、文章の誤字脱字をチェックし、件名も慎重に吟味しましょう。
- リンクや添付ファイルを安易に開かない:メール内のリンクはクリックする前に、マウスを上に置いてURLを確認します。添付ファイルも、送信者が間違いなく信頼できる相手でない限り、原則開かないようにしましょう。
- 送信者の身元を確かめる:怪しいと感じたら、既知の連絡先を使って送信者に直接問い合わせてみましょう。過去のやり取りと比べて、文面や口調に違和感がないか確認するのも有効です。
- メールフィルターとアンチスパムソフトを活用する:会社では、スパム対策やセキュリティのツールが常に最新の状態で稼働していることを確認しましょう。
- フィッシング攻撃を報告する:フィッシングらしきメールを受け取ったら、すぐにIT部門やセキュリティ担当者に報告しましょう。
- 従業員のセキュリティ教育を徹底する:会社ぐるみで、フィッシングやソーシャルエンジニアリングの手口について学び、定期的に対策訓練を行うことが大切です。
結論
バンキングトロジャンMekotioは、特に南米諸国の金融システムを脅かし、手口を巧妙化し続ける脅威です。フィッシングメールを使ってシステムに侵入し、機密情報を盗み出すことを目的としながら、感染したパソコンに長期間居座り続けます。そうした中、適切な対策を講じることが重要となります。メールの信頼性をしっかり確認する、怪しいリンクや添付ファイルを開かない、強力なセキュリティソフトを導入するなど、推奨される対策を実践すれば、個人も組織も、このようなタイプの危険なマルウェアの被害に遭うリスクを大幅に減らすことができます。
感染の痕跡(IOC:Indicators of Compromise)
この記事に関連する感染の痕跡を示す情報は、こちらのリンクから確認できます。
参考記事:
Mekotio Banking Trojan Threatens Financial Systems in Latin America
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)