ラックは6月15日、同社が運営する国内最大級のセキュリティ監視センター「JSOC」において、クレジットカードや金融機関関連情報を窃取する「Ursnif」と呼ばれる不正プログラムによる通信が、3月から急速に拡大していることを検知したとして、注意喚起を促す情報を公開した。
JSOCではこれまで、Citadel、ZeusVMおよびその亜種など、さまざまな種類のマルウェアの感染事例を大量に検知してきた。3月頃からは、多くのユーザーがUrsnif(別名:Gozi)に感染したと考えられる通信を多数検知しており、4月、5月にはマルウェア感染インシデントの2割以上を占めているとのこと。
Ursnifに関連するインシデント件数
このUrsnifは、クレジットカードや金融機関関連情報を窃取するなどの機能がある不正プログラムで、一般財団法人日本サイバー犯罪対策センター(JC3)が注意喚起情報を公開している。キー入力操作情報を収集して外部に不正に送信する機能を持っているため、感染した端末から金融機関関連情報など重要な情報が流出する恐れがあり、最大限の注意が必要とされる。
またUrsnifは、不正に広告クリック通信を行うマルウェアであるBedepの感染通信とあわせて検知する場合も多く、他の種類のマルウェアに感染した後にUrsnifに感染しているとみられる。
JSOCでは、Ursnif感染の原因についてはあまり明確になっているものは少ないとしつつも、改ざんされたウェブサイトや不正広告などからエクスプロイトキットとよばれる攻撃コードを設置されたサイトに転送され感染するウェブ経由の感染や、メールで送られてきた添付ファイルを開いて感染する、メール経由の感染などの可能性が高いと推測。感染を避けるため、以下の対策を推奨している。
- Windows OSやOffice製品の修正プログラムをすべて適用する
- ウイルス対策ソフトウェアやパーソナルファイアウォール製品などを導入し、最新の定義ファイルでの運用を徹底する
- サードパーティ製のアプリケーション(Adobe Reader、Adobe Flash Playerなど)を利用している場合は、常に最新の状態に保つ、もしくは、不要なアプリケーションはアンインストールする
- 脆弱性を悪用されないよう、マイクロソフト社が提供しているEMETを導入する
- 不審なメールの添付ファイルやURLを開かないよう、ユーザへの教育を実施する
- 手口や被害事例について、常に最新の情報をセキュリティ情報サイトやニュースサイトから入手する
- 「悪意のあるソフトウェアの削除ツール」を導入する。6月15日に公開された「悪意のあるソフトウェアの削除ツール」では、新たにWin32/Ursnifに対する定義ファイルが追加されている。