標的型サイバー攻撃の中でも、従来のように企業の機密情報を窃取するのではなく、金銭利益を狙う攻撃が「CARBANAK」といえます。報道によると、100以上の銀行および金融機関がこのバックドア型マルウェアの攻撃を受けたといわれ、2013年後半から始まった攻撃は、世界各地の銀行に影響を与えています。

「CARBANAK」とは、何ですか

「CARBANAK」とは、銀行や金融機関を狙った標的型サイバー攻撃のキャンペーンで利用されるマルウェアの検出名で、この攻撃のキャンペーン(作戦活動)の名称でもあります。この標的型サイバー攻撃も、スピアフィッシングメールやエクスプロイト(脆弱性利用)等、標的型サイバー攻撃の典型的な手法を利用します。このため、標的としたネットワークに潜入するための「事前調査」も実施し、他の標的型サイバー攻撃と同様、「初期潜入」の際にはスピアフィッシングメールを駆使します。トレンドマイクロの製品では、「初期潜入」に利用されるマルウェアを「BKDR_CARBANAK.A」として検出します。

誰が狙われますか

マルウェア「CARBANAK」の背後にいる攻撃者は、さまざまな国の銀行や金融機関を標的にしており、その範囲は、ロシアや、米国、ウクライナ、アジア太平洋地域の国々などに及びます。

「CARBANAK」は、どのようにして標的のネットワークに侵入しますか

キャンペーン「CARBANAK」の攻撃者は、標的とする銀行の従業員にスピアフィッシングメールを送信することでネットワークへの侵入を試みます。このEメールにはファイルが添付されており、「CVE-2012-0158」や、「CVE-2013-3906」、「CVE-2014-1761」といった既知の古い脆弱性を利用する攻撃ツールが含まれています。脆弱性利用に成功すると、シェルコードを実行し、そのシェルコードがマルウェア「CARBANAK」を実行します。別の感染フローでは、侵入の際のEメールに拡張子CPLのファイルが添付されており、このCPLファイルが実行されることでマルウェア「CARBANAK」が実行される場合もあります。

攻撃者が既知の古い脆弱性に狙いを定めるのは、ソフトウェアやシステムの更新プログラムをすぐに適用しないユーザがいることを見越した上での戦略といえます。

攻撃者がネットワークへの侵入に成功すると、どのようなことが起こりますか

スピアフィッシングメールを受信したユーザが脆弱性利用の添付ファイルを開封することで、マルウェア「CARBANAK」が実行されます。「CARBANAK」の不正活動で特に注意すべきは、攻撃者が遠隔で実行するコマンドです。攻撃者はコマンドを遠隔実行することで、ユーザがアクセスしたWebサイトのスクリーンショット取得、Cookieの窃取、監視目的のWebサイトへのコード挿入、ブラウザからのCookie削除などが可能になります。さらにシステム情報も窃取します。

そして「情報探索」の攻撃段階においてネットワーク内を縦横無尽に動き回るために、攻撃者は遠隔管理ツールを利用します。このツールを駆使して、目的の銀行口座の処理関連のシステムに到達します。目的のシステムに到達すると、攻撃者は、被害者となるユーザの活動や作業等を録画を試みます。録画した情報は、ユーザが利用する銀行処理や作業手順を詳しく把握するために利用されると考えられます。このように録画等で収集された情報は、攻撃者による銀行記録の操作や、自分たちの口座への送金等を検知を避けて実行する際の参考とされます。

「標的型サイバー攻撃」で使用される攻撃手法の概念図

本件の調査中、この攻撃に利用された他のマルウェアの存在も確認しています。弊社は、これらのマルウェアを以下のウイルス名で検出しています。

攻撃者は、送金に際してどのような手口を駆使しますか

標的にした銀行や金融機関のネットワーク内へ侵入を果たした後、攻撃者の次なる活動は、窃取した金銭を自分たちの口座に送金することです。攻撃者は、送金に際して「国際銀行間通信協会(Society for Worldwide Interbank Financial Telecommunication、SWIFT)」のネットワークを利用していました。偽口座から送金するために電子決済システムを利用する場合や、ATMを指定した事例さえありました。

トレンドマイクロの製品を利用しているユーザは、この脅威から守られますか

はい、守られます。トレンドマイクロ製品をご利用のユーザは、以下のセキュリティ対策製品によりこの攻撃から守られます。

カスタムディフェンス

トレンドマイクロの「Deep Discovery™(ディープ ディスカバリー)」は、ネットワークの可視化を実現し、今回のような攻撃を含む標的型サイバー攻撃に対峙するカスタムディフェンスにおいて不可欠なインテリジェンス(脅威に関する知見)を提供します。

Deep Discoveryは、今回のようなキャンペーン「CARBANAK」の攻撃に対しても、各攻撃段階で複数のポイントから攻撃を検知することが可能です。

  • Deep Discovery Email Inspectorは、攻撃者が標的にした銀行の従業員に向けて送信したスピアフィッシングメールを検出することが可能です。このスピアフィッシングメールは、従来型のセキュリティ対策を突破して足がかりを築き、標的型サイバー攻撃を開始する第一段階です。さらに、従来型の標準的なメール保護機能では気付かずに通過してしまうような、不正なメール本文、不正な添付ファイル、不正URLのリンクなども検出するEメール監視機能も備えています。

スピアフィッシングメールに添付されたエクスプロイトを検知している画面

  • Deep Discovery Analyzerは、ファイルのタイプやサイズ、ソースなどの広範囲を「カスタムサンドボックス」と呼ばれる仮想環境で動作させて解析することで、未知の脅威を検知することも可能です。この仮想環境で、攻撃者が企業のPCや端末のプラットフォームに合わせて設計・構築した環境を再現できるからです。また、検出され解析済みの脅威に関する情報や知見を共有し、導入したすべてのセキュリティ対策製品の連携させることで、これらの検出力を高めることも可能です。こうしてセキュリティ基盤を構築し、不正な通信、不正なWebサイト、不正なアプリケーション、マルウェア、さらに攻撃者の不正活動による脅威拡散の防止が可能になります。

カスタムサンドボックスによる「CARBANAK」亜種の解析結果一例

  • Deep Discovery Inspectorは、ネットワーク内のあらゆる場所における不審な活動を検知することが可能です。これにより、「CARBANAK」によるネットワーク内の情報探索活動やコマンド&コントロール(C&C)サーバとの通信なども検知できます。また、攻撃者が利用する遠隔管理ツールによって発生するトラフィックを、静的解析、動的解析、振る舞い検知の3 つの手法の可視化により、早い段階で検出することも可能です。

遠隔管理ツール「Ammy Remote Admin Tool」のトラフィックを振る舞い検知により可視化

Deep Discovery Inspectorは、すべてのポートと80以上のプロトコルやアプリケーションを通過するトラフィックを監視することが可能です。これにより、従来のセキュリティ対策で検知されなかった脅威を捉えることができます。また、実装された「脅威検知エンジン(Advanced Threat Scan Engine: ATSE)」は、標的型サイバー攻撃に最適化されています。これにより、多くの圧縮形式やアーカイブ形式、ファイル形式に対応し、パターンだけでなく、ヒューリスティックルールやドキュメント脆弱性攻撃コードを、その構造から検知することで不審なファイルを見つけ出せるため、Eメールに添付されたこれらの不正な添付ファイルを検出することが可能です。

企業は、Deep Discoveryのこれらの検知を通して、自社のスレットインテリジェンス(脅威に関する知見)および弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」に基づく世界中のスレットインテリジェンスの双方を構築し、こうした知見を駆使し、確認済のマルウェアや、通信、活動等の危険度をより総合的かつ的確に判定することが可能になります。 

さらにDeep Discoveryは、企業で導入いただいている弊社の他のセキュリティ対策製品とも連携し、攻撃の進行を阻止するカスタムディフェンスを実現します。例えば、

  • 標的型サイバー攻撃における特徴的な活動であるC&Cサーバ通信の検知ログ「C&C Callback Events」など、「侵入の痕跡(Indicators of Compromise、IOC)」の情報を他のトレンドマイクロ製品と共有
  • ユーザ環境に則した解析や、レポーティング、通知機能を駆使し、標的型サイバー攻撃における分析力と対応力の強化
  • 「Network VirusWall Enforcer™」と連携し、標的型攻撃を受けた端末のあるネットワークセグメントを強制遮断

エンドポイントのセキュリティ対策

適切に設定されたエンドポイントのセキュリティ対策により、「CARBANAK」のPCやネットワークへの侵入を防御することができます。

メールセキュリティ

Eメールは、「CARBANAK」の侵入に大きな役割を果たしており、この攻撃を防御する点で注意すべき感染経路となっています。

  • Trend Micro Hosted Email Security™」は、社内メールサーバとインターネット上の他のメールサーバ間でやり取りされるメールに検出されるウイルスやその他のマルウェアを、クラウド上にあるHosted Email Securityシステムが自動的に除去し、スパムメール対策(コンテンツ検索)では、他の手法によるスパムメールの識別とは異なり、コンテンツ分析機能を採用したことで、パフォーマンスの高いリアルタイムの検出が可能です。
  • InterScan Messaging Security Virtual Appliance™」は、Deep Discovery Advisorと連携し、疑わしいメッセージを添付ファイルも含めてDeep Discovery Advisorの仮想アナライザに送信し、仮想環境で内容のシミュレーションと分析を実行し、マルウェアに関連付けられている特性を識別し、メッセージに添付されたファイルに不正なコードが含まれているかどうかも確認します。これにより、今回の攻撃で利用されたようなエクスプロイトコードを含むファイルを検出します。

翻訳:品川 暁子(Core Technology Marketing, TrendLabs)