VAWTRAK」は、オンライン銀行詐欺ツールのファミリ名の1つで、2013年8月に情報窃取型不正プログラムとして初めて確認されました。この不正プログラムファミリは、ソーシャルエンジニアリングの手口を駆使し、宅配便の通知を装ったスパムメールに添付されたZIP形式ファイルとしてコンピュータに侵入します。そして、ログイン認証情報とともにFTPクライアントに保存された情報も窃取します。2013年11月には、短期間で急速に拡散する機能を備えた点から、このオンライン銀行詐欺ツールがセキュリティ業界でも大きな話題となりました。そして2014年5月には、日本のネットバンキング利用者を標的にした亜種も確認されました。

2015年第1四半期に入っても、トレンドマイクロでは、「VAWTRAK」に関する2件の事例を再び確認しています。1件目は2015年2月、2件目は2015年3月に確認され、各事例で「VAWTRAK」の新たな亜種がそれぞれ2つずつ登場しています。本稿では、この2件の事例について解説します。

どのような組織が、「VAWTRAK」の新たな亜種の標的となりましたか

2014年5月に「VAWTRAK」が再び確認された際は、日本の金融機関が標的となっていました。そして2015年に再確認された際は、以下の機関が狙われていました。  

  • 米国内の銀行や金融機関(2015年2月の事例)
  • カナダ国内の銀行や金融機関、信用金庫(2015年3月の事例)

実際、2015年1月から3月における「VAWTRAK」の実感染数に関する弊社の調査でも、感染数が多かった国として、米国、日本、ドイツの3ヵ国を確認しています。

2015年に確認された「VAWTRAK」の新亜種は、どのようにコンピュータへ侵入しましたか

2015年2月に確認された2つの亜種(「BKDR_VAWTRAK.LNY」・「BKDR_VAWTRAK.DOKR」)と、3月に確認された2つの亜種(「BKDR_VAWTRAK.YXG」・「BKDR_VAWTRAK.VTJ」)は、双方とも、スパムメールを介してコンピュータに侵入しており、ソーシャルエンジニアリングの手口を駆使し、航空貨物輸送会社の配送票や航空券の決済票を装ったメールが利用されました。なお、2月に確認された亜種は、スパムメールに添付された不正なファイルとしてコンピュータに侵入し、それがそのままマクロ型不正プログラムとして不正活動を行いました。他方、3月の亜種は、ユーザがスパムメール内のリンクをクリックすることで、改ざんされたWebサイト内へ誘導され、そこに埋め込まれた圧縮ファイルがコンピュータに侵入したものです。

2月に確認された亜種の場合、改ざんされたWebサイトや正規のWebサイトにホストされたmalvertisement(不正広告)を介してユーザのコンピュータに侵入ことも可能です。

なぜ、これらの新しい亜種に注意が必要なのでしょうか?

2月に確認された「VAWTRAK」の亜種は、ソーシャルメディアのログイン認証情報を収集するだけでなく、マクロやWindows PowerShell の機能も悪用するため、注意が必要です。これらの機能を悪用する点から、サイバー犯罪者が既存のセキュリティ対策をすり抜けるための不正機能強化に関心が高いことも伺えます。PowerShellは、スクリプトの実行ツールで、通常はサイバー犯罪者に利用されることはないため、IT管理者の盲点を突くことが可能です。一方、マクロは、パスワードロックで不正なコードを隠ぺいすることも可能であり、これにより、セキュリティ対策の検知を回避できます。

一方、3月に確認された亜種は、検出回避のために以下の新しい手法を備えている点で注意が必要です。  

  • さまざまなC&Cサーバから環境設定ファイルをダウンロードしますが、その際、暗号化されたアイコンとしてダウンロードされ、侵入後に復号されることでファイル内に含まれたC&Cに関する情報が利用されます。このため、不正なネットワークトラフィックを検知するネットワーク機器をすり抜けて、これらの活動が行われます。 
  • 亜種からC&Cサーバへのコールバック通信も、Tor2webのURLを使用し、暗号化されます。このため、この亜種は、Torでの通信に必要なブラウザをインストールせずに、Torネットワークへの接続およびその利用が可能になります。

「VAWTRAK」の各亜種が本来備えている情報窃取機能と共に、こうした新たな手法が加わったことで、コンピュータのセキュリティ対策の観点からも、「VAWTRAK」ファミリに対しては、細心の注意が必要です。

「VAWTRAK」は、一般ユーザや企業へどのような影響を与えますか

「VAWTRAK」の情報窃取機能により、一般ユーザも企業も、感染に伴い金銭的な損失に遭う可能性があります。また、顧客情報や機密情報が窃取される点では、企業が受ける損失被害の方が甚大となります。

トレンドマイクロの製品は、この脅威からユーザを保護しますか

はい、守られています。「脅威情報の収集」および「脅威の特定・分析」を行うクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」が搭載されたトレンドマイクロ製品は、その中の「E-mailレピュテーション」技術により、「VAWTRAK」による脅威に関連するE メールをブロックします。「Webレピュテーション」技術は、この脅威に関連する不正な Web サイトへのアクセスをブロックします。「ファイルレピュテーション」技術は、上述の不正プログラムを検出し、削除します。「ウイルスバスター クラウド™」、「ウイルスバスター™ コーポレートエディション 11」、「ウイルスバスター™ビジネスセキュリティ」をご使用のユーザは、この脅威から守られています。

ユーザは、ご使用のコンピュータをこの脅威から守るために何ができますか

以下の注意事項に従って、ご使用のPCを守ることができます。  

  • 不審なEメールはすべて削除すること。特にリンクや添付ファイルのあるEメールは十分注意し、不審な場合は開封せずに削除することです。 
  • ソーシャルメディアや、オンラインショッピング、ネットバンキングなど、頻繁にログインするWebサイトはブックマークしておくことです。これにより、ユーザのURL誤入力を悪用したタイポスクワッティングの手口によるフィッシングサイトへの誘導を回避できます。 
  • スパム攻撃や他のソーシャルエンジニアリング悪用への対策を含む、総合的なセキュリティ対策製品をインストールしてください。これにより、不正なEメールや添付ファイルを誤って開封することを防ぎます。 
  • 「VAWTRAK」に感染した疑いがある場合、感染していない別のコンピュータから速やかにネットバンキング口座のパスワードを変更してください。そして直ちに銀行へ電話連絡してください。これにより、銀行側は、該当口座に関連する不審な取引への警戒を強化できます。感染コンピュータからアクセスした可能性のあるすべての口座に対しても、同様の対策を行ってください。