「URSNIF」は、他の不正プログラム(例:バックドア型ファイル感染型)からさまざまな機能を採用する情報窃取型不正プログラムとして知られています。こうした手法を駆使して、検出回避を可能にし、より効果的な情報窃取活動を目論んでいるようです。2014年12月以降、米国のユーザへの感染や、英国内での感染が確認されています。

さまざまなタイプの不正プログラムの機能を採用する中、「URSNIF」の不正活動として注目すべき機能は、以下のとおりです。

  • ファイル感染
  • 特定のプロセスへコードの挿入
  • アクティブなブラウザ上でAPIをフック
  • ブラウザ上での活動のスクリーンショット取得
  • バックドア活動(不正リモートユーザのコマンドを実行)

新たに確認される「URSNIF」の亜種が増加する中、採用される不正機能の数も同様の傾向を示しています。この点からも、サイバー犯罪者が被害の拡大を狙い、不正プログラムの仕様や機能へ調整を施していることが伺えます。

「URSNIF」は、ユーザのコンピュータへどのように侵入しますか

「URSNIF」の亜種は、多くの場合、他の不正プログラムによってリモートサイトからダウンロードされるかスパムメールを介してコンピュータに侵入します。加えて、リムーバブルドライブやネットワーク共有を介して他のコンピュータへ拡散する亜種も確認されています。

「URSNIF」がコンピュータに感染すると、どのような不正活動が展開されますか

「URSNIF」の感染活動は亜種によって異なります。典型的な感染活動は、以下のとおりです。

  • コンピュータに侵入すると、「URSNIF」の亜種が自身のコピーを作成する。
  • コンピュータの起動時に自動実行するようレジストリ値を作成する。
  • “explorer.exe”や、 “smss.exe”、”csrss.exe” などの特定のプロセスへ自身を挿入する。
  • “.PDF” や ”.EXE” などの特定のファイルタイプや拡張子のファイルを検索し、それらへファイル感染する。
  • 感染コンピュータからシステム情報を収集する。特にデジタル認証、コンピュータ名、プロセス、特定のレジストリの内容、cookieやドライバの情報等を窃取。ブラウザ上での活動のスクリーンショットを取得する場合もある。
  • C&Cサーバと通信し、窃取した情報の送信したり、不正リモートユーザからのコマンドを実行したりする場合もある。

「URSNIF」に感染したユーザには、どのような被害が及ぶのでしょうか

「URSNIF」の情報窃取機能により、ユーザは、ネットバンキングのアカウント認証情報など、個人情報盗難の被害に見舞われます。また、ユーザの活動を監視するため、アクティブなブラウザ上でさまざまな実行ファイルやAPIをフックします。この手法により、ブラウザの使用中に送受信される情報の傍受や窃取が可能になります。こうした活動により、ユーザは金銭的損失を被り、窃取された金銭は、サイバー犯罪活動の資金源となる可能性もあります。

ブラウザ上での活動のスクリーンショットも取得され、ユーザのプライバシーが侵害されます。取得されたスクリーンショットには、ユーザが誰とも共有したくないプラベートな詳細や行動が含まれている場合もありえます。結果、ユーザのプライバシーが損なわれたり、恐喝の材料に悪用される恐れもあります。

なぜ、「URSNIF」の脅威に注意が必要なのですか

「URSNIF」は、複数の情報窃取機能を備えて多様化しているだけではなく、検出回避のためにファイル感染活動も駆使するため、注意が必要です。実際、「URSNIF」の亜種は、他の不正プログラムの機能を採用して多様な形式で登場し、ファイル感染の手法もさまざまであることから、「ポリモーフィック型の特徴を備えている」とさえ言えます。こうした特徴のため、今後登場する亜種は、それぞれが大きく異なり、感染の時点で従来のセキュリティ対策では検知されず、亜種ごとに全く別の検出対応が必要となる可能性もあります。

2014年末に確認された「PE_URSNIF」の亜種も、検出回避のために独特のファイル感染手法を備えていました。この場合、PDFファイルが利用されました。侵入後、この亜種は、コンピュータ内で確認したPDFファイルへ自身および自身のコピーを埋め込みます。このため、偽装されたこの亜種をユーザが実行した際、PDFファイルも同時に開かれ、この亜種自体の起動が隠ぺいされます。PDFファイルの方は、直接的なファイル感染の被害は受けず、不正プログラムに利用されるだけのようです。

このように「URSNIF」の背後のサイバー犯罪者は、不正プログラムの作成に際して新たな機能を追加し続けています。こうした事実からも、「URSNIF」は、今なおエンドユーザを狙う脅威であり、厳重な注意が必要となります。

トレンドマイクロの製品は、この脅威からユーザを保護しますか

はい、守られています。「脅威情報の収集」および「脅威の特定・分析」を行うクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」が搭載されたトレンドマイクロ製品は、その中の「E-mailレピュテーション」技術、「Webレピュテーション」技術および「ファイルレピュテーション」技術の相関分析により、「URSNIF」の亜種と共に、関連するコンポーネントやスパムメール等やその他の要因をブロックします。「ウイルスバスター クラウド™」、「ウイルスバスター™ コーポレートエディション 11」、「ウイルスバスター™ビジネスセキュリティ」をご使用のユーザは、この脅威から守られています。

ユーザは、ご使用のコンピュータをこの脅威から守るために何ができますか

以下の注意事項に従って、ご使用のPCを守ることができます。

  • いかなるリムーバブルドライブも感染源となる可能性があると認識すること。信頼できる入手先からのリムーバブルドライブであっても、セキュリティ対策をインストールしていないコンピュータへは接続しないことです。
  • 不審なEメールはすべて削除すること。特にリンクや添付ファイルのあるEメールは十分注意し、不審な場合は開封せずに削除することです。
  • スパム攻撃や他のソーシャルエンジニアリング悪用への対策を含む、総合的なセキュリティ対策製品をインストールして下さい。これにより、不正なEメールや添付ファイルを誤って開封することを防ぎます。
  • 「URSNIF」に感染した疑いがある場合、感染していない別のコンピュータから速やかにネットバンキング口座のパスワードを変更してください。そして直ちに銀行へ電話連絡してください。これにより、銀行側は、該当口座に関連する不審な取引への警戒を強化できます。感染コンピュータからアクセスした可能性のあるすべての口座に対しても、同様の対策を行ってください。

上記の対策に加え、IT管理者の場合は、ネットワーク共有が「URSNIF」の感染経路の1つであることから、この設定も正しく行う必要があります。例えば、コンピュータがネットワーク内で同一チャネルのアクセスを構成しないようにします。また、ネットワーク内のアクセスは、「読み書き(read-write)」権限ではなく、「読み取りのみ(read only)」に設定してください。