フィッシングもマルウェアも使いこなす両刀使いの詐欺師が出現 --RSA解説

NO BUDGET 2014年08月14日 11時00分

  • このエントリーをはてなブックマークに追加

 EMCジャパン RSA事業本部は8月13日、フィッシングサイト閉鎖サービス「RSA FraudAction」を担う不正対策指令センター(Anti-Fraud Command Center :AFCC)のニュースレター最新号、「Monthly AFCC NEWS:2014年7月号(Vol.84)」を発行した。その中のトピックとして、”フィッシング攻撃を仕掛けた同じ相手にマルウェアによる攻撃も仕掛ける”珍しい攻撃者が紹介されている。


6 つのマルウェア攻撃を内包したクラスター爆弾型攻撃(RSA提供)

 この攻撃者は、RSAが最近行った、あるマルウェア攻撃に対する調査から浮かび上がってきた。さまざまな金融機関の顧客を狙って、1回で6つのマルウェアによる攻撃が同時に仕掛けられたクラスター爆弾型攻撃があり、同一の暗号鍵が使われている点や、4件登録されていたドロップメールアドレス(窃取した情報の送信先)に強い共通性が見られることから、RSAは同一犯によるものと判断した。

 これらのマルウェア攻撃に関連づけられていた4件のうち、3つのドロップメールアドレスは同じ語句に「s」が2~4つ追加されている以外、ほぼ同じだったのだ。

 さらに、RSAのフィッシング攻撃データベースから相関性の高いものを検索した結果、上述のマルウェア攻撃でドロップメールアドレスとして使われていた「XXXXXXXXXXssss@gmail.com」が、欧州の大手金融機関の利用者を狙ったフィッシング攻撃で使われていたという記録が確認された。

 さらに、このフィッシングで使われていたURLのパス、ドロップメールアドレス、攻撃用キットの開発者名なども、上述のマルウェア攻撃と共通しており、両者がより大規模なクラスター型のフィッシング攻撃を形成していることを示唆している。


ラスター型フィッシング攻撃におけるドロップメールアドレスの共有状況(RSA提供)
事案2と事案4は同じドロップメールアドレスを使用。事案4では他にも2つのドロップメールアドレスが使われており、うち1つは事案5、事案6でも使われていたことを示している。事案1と事案3に関与しているドロップメールアドレスは不明である。

 上図は、攻撃者が同一とみられる異なる6つの事案で、3つのドロップメールアドレスが共有されていたことを示している。このフィッシング攻撃では全く異なる3つのメールアドレスが使われているが、このうち1つは前述のマルウェアに登録されていたメールアドレスと一致していた。そして、この3つのメールは、同じ人物に結びつくことがわかっている。

 この人物は、南アフリカと欧州の多くの金融機関ならびに米国・英国の大手小売り店の利用者に対する別の攻撃にも関与しているだけでなく、はるかオーストラリアの標的を狙った攻撃にも関与が示唆されている。さらに、これらの手がかりを横断分析した結果、XXXXXXXXXXss@gmail.comが、この人物のGmailアカウントのサインアップセッションでリカバリ用メールアドレスとして登録されていたことが明らかになった。

 マルウェアを用いた攻撃とフィッシングによる攻撃は、必要となるリソースや攻撃用のキット、技術的な知識などが大きく異なるため、いずれか一方の得意とする方法で換金しようとする犯罪者がほとんど、というのが通説だった。マルウェアやフィッシングの利用に必要な知識やリソースのハードルが下がってきたことを示唆している可能性もある。それだけに、RSAはこの事案の推移を強い関心を持って見守っているという。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算