編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

マルウェアが盗んだ国内のクレジットカード情報、1800件格納のサーバを発見

ZDNet Japan Staff

2018-07-04 13:01

 トレンドマイクロは7月3日、国内のクレジットカード情報1800件を格納したサーバを発見したとブログで報告した。こうしたケースは珍しいといい、情報を窃取するマルウェア攻撃などの手口について解説している。

 同社によると、クレジットカード情報は「マニュピレーションサーバ」と呼ばれる、サイバー犯罪者がマルウェアなどで窃取した情報を格納するサーバで見つかった。6月18日時点で最大となる1800件が保存されていたという。通常、「マニュピレーションサーバ」は攻撃者が捜査などから逃れるために隠されているとし、今回は犯罪者の設定ミスと思われる原因から発見に至った。

トレンドマイクロが発見したというクレジットカード情報(出典:トレンドマイクロ、一部抜粋)
トレンドマイクロが発見したというクレジットカード情報(出典:トレンドマイクロ、一部抜粋)
サーバに格納されたクレジットカード情報件数の推移(出典:トレンドマイクロ)
サーバに格納されたクレジットカード情報件数の推移(出典:トレンドマイクロ)

 攻撃では、正規サービスなどのURLリストを持つ「バンキングトロジャン」(インターネット銀行サービスなどを狙うトロイの木馬型不正プログラムの通称)が使われる。これに感染したコンピュータのユーザーがリストにあるウェブサイトへアクセスすると、「ウェブインジェクション」という手法で表示画面の一部などを改ざんし、ユーザーが入力する認証情報やクレジットカード情報などを「マニュピレーションサーバ」へ転送したり、不正送金を行ったりするという。

 3月に確認された「Panda Banker」という名称のバンキングトロジャンは、さまざまな種類のオンラインサービスのURLリストを持ち、内訳は約6割がクレジットカードサイト、2割弱がマルチサービスサイト、約1割が動画サイトで、この他にSNSや通販などのウェブサイトも標的にしていた。

 同社は、「バンキングトロジャン」の名称から、一般的に銀行サービスを標的にしていると思われがちだが、実態は上述のように異なると解説する。

 また、情報を搾取する手口としては正規サイトに似せたフィッシングサイトが知られるものの、「バンキングトロジャン」による攻撃では正規サイトのコンテンツの一部が改ざんされるため、URLの文字列がほとんど変化せず、一目で攻撃を見抜くことが難しいと指摘する。ただし、「ウェブインジェクション」では暗号化通信が途切れてしまう場合があり、攻撃によってURLの文字列が「https://~」から「http://~」に変わるといった変化に気づけば、攻撃を見抜ける可能性があるという。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]