「DRIDEX」は、HTMLインジェクションを介して個人情報を窃取するオンライン銀行詐欺ツールで、主にヨーロッパを拠点とする銀行や金融機関の顧客を標的にしています。「DRIDEX」は、2014年11月頃に初めて確認され、オンライン銀行詐欺ツール「CRIDEX」の直接的な後継と考えられており、新たな不正活動や検出回避の手法を備えています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によると、この不正プログラムの影響を最も受けた国はオーストラリアで、全体の19.91%を占めており、次に英国が15.24%、僅差で米国が14.08%と続きます。

「DRIDEX」を詳しく解析すると、この不正プログラムを拡散するスパムメールは、ベトナム(14.64%)、インド(10.12%)、台湾(9.15%)から送信されていることが分かりました。

「DRIDEX」は、どのようにユーザのPCに侵入しますか

「DRIDEX」の亜種は、スパムメールを介してユーザのPCに侵入します。弊社が確認したスパムメールは、正規機関からの送信を見せかけた金融関連の通知書を装っていました。これらのスパムメールには必ず不正なファイルが添付されています。この添付ファイルはWordの文書ファイルで、不正なマクロのコードを含んでいます(「TROJ_WMSHELL.A」として検出)。スパムメールの受信者がこのWordファイルを開封すると、マクロコードが実行され、PC上に「DRIDEX」がダウンロードされます。

なお、このWordファイル上のマクロコード実行機能は初期設定では無効となっています。この機能が有効になっている場合のみ、この不正コードが実行されます。

PC上で「DRIDEX」を実行したら何が起こりますか

「DRIDEX」がPC上にインストールされ実行されると、この不正プログラムの亜種は以下の不正活動を実行することが可能になります。  

  • 特定のURLをクリックした際に自動的にスクリーンショットを取得 
  • フォームグラビング(Form Grabbing:ログイン情報など入力フォームの情報を窃取) 
  • ログイン情報などをマウス入力した際に自動的にスクリーンショットを取得 
  • HTMLインジェクション

「DRIDEX」の亜種の1つである「TSPY_DRIDEX.WQJ」の環境設定ファイルを解析すると、特にヨーロッパを拠点とした銀行の顧客が、スパムメールを送信するこの不正プログラムの標的とされていることが分かります。

以上のように、感染PCのセキュリティがこの不正プログラムによって侵害されると、ユーザのプライバシーに深刻な影響を与えるだけでなく、アクセス可能なすべてのオンラインアカウントも侵害する恐れがあります。侵害されるのはオンライン銀行のアカウントだけではありません。

「DRIDEX」は、どのような被害をユーザに与えますか

「DRIDEX」は、個人情報収集やブラウザ監視などのさまざまな不正活動を通じて、オンライン銀行のアカウント情報などの個人情報を窃取します。

「DRIDEX」はまた、窃取したログイン認証情報を利用してソーシャルメディアなど、ユーザが持つ他のオンラインアカウントにアクセスしたり、乗っ取ったりすることでプライバシーを侵害する恐れがあります。また、窃取したスクリーンショットにより、ユーザの個人情報が不用意にさらされる可能性もあります。

さらに、被害者のユーザアカウントから窃取した金銭は、犯罪活動の資金として利用される恐れがあります。例えば、運び屋詐欺は、窃取した金を使ってオンライン上で高価な物品を購入し、転売して利益を得ます。

「DRIDEX」は、なぜ注意すべき不正プログラムなのでしょうか

「DRIDEX」」は、さまざまな情報収集の手法を用いてオンライン銀行の個人情報を収集するオンライン銀行詐欺ツールであるため、注意が必要です。これらの手法の1つとして、「DRIDEX」は不正なコードをユーザが閲覧中のWebサイトに組み込みます。

組み込まれた不正なコードは、通常、情報収集活動に使用されます。この不正コードにより、ログイン画面に入力した個人情報は、送信されるはずの正規機関の代わりに、サイバー犯罪者へ送信されます。

この不正プログラムは、ヨーロッパを拠点とする主要な銀行・金融機関を特に標的にしていることも注意すべき点です。

トレンドマイクロのユーザはこの脅威から保護されていますか

トレンドマイクロのセキュリティ対策を備えたシステムは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」とその相関分析により、「DRIDEX」のすべての亜種や、コンポーネント、関連するスパムメールおよびその構成要素をブロックします。

ユーザは、ご使用のPCをこの脅威から守るために何ができますか。感染の疑いがあるときは何をすべきでしょうか。

以下のベストプラクティスに従って、ご使用のPCを守ることができます。  

  • 受信した疑わしいEメールはすべて削除すること。特に、リンクや添付ファイルのあるEメールは開封せずに削除することです。正規の機関から送信されたように装っている場合は、まず当該機関に問い合わせて下さい。 
  •  Eメールを保護するセキュリティ対策製品をインストールして下さい。不正なEメールや添付ファイルを誤って開封することを防ぎます。 
  • 「DRIDEX」に感染したと疑われる場合は、感染していない(そのように確信がもてる)PCを使用して、直ちにオンライン銀行のアカウントパスワードを変更して下さい。その後、金融機関に連絡して不審な取引が行われていなかったかを確認する必要もあります。さらに、感染したPC上からアクセスしたと思われる他のアカウントについても、同様の対応を行って下さい。

翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

関連マルウェア