オンライン銀行のアカウントを狙う「DYREZA」の脅威
「DYREZA」は、あの悪名高い「ZBOT」の再来として報道されたオンライン銀行詐欺ツールです。2014年9月頃に初めて確認されたこのマルウェアは、SSLを回避する機能を備えていたため、セキュリティ業界の注目を集めました。SSLはオンライン銀行のWebサイトで一般的に利用されるセキュリティ対策です。
「DYREZA」はどのようにユーザのコンピュータに侵入しますか?
「DYRE」としても知られる「DYREZA」の亜種は、おもに、不正なファイルが添付されたスパムメールを介してユーザのコンピュータに侵入します。このスパムメールは、大抵の場合、銀行や金融機関からの請求書や通知書を装うように作成されています。一方、添付ファイルは、常にPDF形式です。
ユーザがソーシャルエンジニアリングを利用したスパムメールにだまされて不正なPDF形式の添付ファイルを開封すると、「DYRE」の亜種がコンピュータにダウンロードされ、実行されます。
ユーザが、コンピュータ上で「DYREZA」を実行すると、どのようなことが起こりますか?
「DYREZA」の亜種は、感染コンピュータ上でインストールおよび実行されると、以下の不正活動を行うことが可能になります。
- ブラウザへのインジェクションを介した「Man-In-The-Middle(中間者)攻撃」の実行
- ブラウザ上での活動を監視/スクリーンショットの取得
- 個人情報や認証情報の窃取
- オンライン銀行の個人情報/ログイン認証情報の窃取
- 「Simple Traversal of UDP through NATs(STUN)」を介した感染ユーザの位置情報の特定
つまり、「DYRE」は感染したコンピュータのセキュリティを侵害し、そのコンピュータにアクセスするオンライン銀行のアカウントなども含め、ユーザのプライバシーを非常に危険な状態にします。
「DYREZA」はユーザにどのような影響を及ぼしますか?
「DYREZA」は、個人情報収集やブラウザ監視などのさまざまな不正活動を通じて個人情報(オンラインアカウント認証情報)を窃取することでユーザに被害を与えます。また、収集したログイン認証情報により、ユーザのソーシャルネットワーク上のアカウントが侵入され、乗っ取られることもあり、マルウェアがユーザのプライバシーをも侵害する可能性があります。また、このマルウェアはSTUNサーバに接続する機能を備えているため、被害者となるユーザが世界のどこにいても特定できます。これもプライバシー侵害の1つと解釈できるかもしれません。
ほとんどの場合、被害を受けたユーザのアカウントから収集された金銭は、運び屋詐欺を介してさらなるサイバー犯罪活動への資金となります。具体的には、収集された資金によりオンラインで高級品を購入し、それらを販売して利益を得るといった手法です。
なぜ「DYREZA」には注意が必要なのでしょうか?
「DYREZA」は、さまざまな情報収集活動を行うオンライン銀行を狙ったマルウェアであるため、注意が必要です。ほとんどの「DYREZA」の亜種が、オンライン銀行のアカウントへのアクセスに利用されるWebブラウザに焦点を当てており、キー入力情報の収集を行うことで悪名高い「ZBOT」と異なります。また、個人の認証情報を収集する機能が、このマルウェアをより危険なものにしています。SSLはアカウントのハッキング防止のためにオンライン銀行のWebサイトで用いられるセキュリティ保護の手法ですが、この認証情報の収集機能により、マルウェアにSSLを回避する機能が提供されてしまいます。
「DYREZA」の最新の亜種「TSPY_DYRE.EKW」は、脆弱なコンピュータへ自身をダウンロードするために、Adobe Reader および Acrobat に存在する古い脆弱性「CVE-2013-2729」を利用していることが確認されました。また、この亜種は、金融機関の他、仮想通貨「Bitcoin(ビットコイン)」のWebサイトも対象にしていたことが確認されています。
トレンドマイクロは、ユーザをこの脅威から守りますか?
はい。トレンドマイクロの製品をお使いのお客様は、「DYREZA」およびこれに関連するすべての不正なコンポーネント等から防御されます。
この脅威からコンピュータを守るために、ユーザができることは何でしょうか。また、感染の疑いがあった場合には、どのように対処すべきですか。
ユーザは、以下のベストプラクティスを実践することにより、自身を保護することが可能です。
- 各銀行のポリシーを確認する:口座を持っていないオンライン銀行から通知メールを受信した場合、その通知メールは速やかに削除してください。口座がある場合は、その銀行の最寄りの支店にただちに連絡し、受信した通知メールについて確認してください。
- 疑わしいEメールは削除する:特に受信したEメールにリンクや添付ファイルがある場合は、開封せずに削除して下さい。
- セキュリティ対策製品をインストールする:Eメールの検証機能も備えるセキュリティ製品をインストールしてください。これにより、初期段階で、Eメールや不正な添付ファイルを誤って開封してしまう可能性が低くなります。
- オンライン銀行のパスワードを変更する:「DYREZA」に感染したおそれがある場合、感染が確認されていない別のコンピュータから、オンライン銀行のアカウントパスワードを速やかに変更してください。また、お使いの銀行に連絡し、不正な取引に注意するよう警告してください。感染コンピュータからアクセスしたことのあるすべてのアカウントについても同様に対応して下さい。