米国でタックスシーズンの終わりが近づいている。タックスシーズンは、ハッカーが詐欺を働く絶好の機会となるようだ。企業や個人が期限までに手続きを進めようとする中、サイバー犯罪者は、フィッシングの手法などによってそうした企業や個人の動きにつけ込もうとしている。サイバー犯罪者は世界中で、金融情報を盗むことを狙い、フィッシングの仕組みで同様の手法を利用している。銀行や米内国歳入庁(IRS)などの組織を装う例も多い。IBM X-Forceによると、2019年も税金に関連する詐欺の動きがみられるという。また、2019年の詐欺の多くは企業を標的にし、トロイの木馬「TrickBot」を展開しようとしているという。
IBM X-Forceの研究者であるMartin Steigemann氏とAshkan Vila氏は米国時間4月8日、そうした詐欺の中で特に3つのスパムキャンペーンに注目している。それらのフィッシング詐欺の狙いは、会計や税金、給与支払いなどのサービスを提供する企業になりすまして被害者をだまし、難読化されたマクロが埋め込まれた悪意ある「Microsoft Excel」文書を受け入れさせることにある。
これらのキャンペーンでなりすましに利用されているのは、給与計算システムのPaychexや人材関連業務企業のADPなどだ。企業の電子メールアドレスと個人の電子メールアドレスの両方が標的になっているが、通常は一般的な消費者よりも企業の方が潤沢な資金を持っていることから、ビジネスメール詐欺(BEC)の方がはるかに大きな利益を得られる。
IBMの研究者は、「TrickBotが潜在的に脆弱なデバイスにインストールされ、ネットワーク上のほかのデバイスに到達すると、さらに拡散するおそれがある。通常、組織内で不注意な人を1人だけ見つけるだけで、攻撃者は内部に侵入することができる」と述べている。
悪意あるドキュメントは、TrickBotをダウンロードして展開する機能を備える。TrickBotは金融機関を標的とする現存のトロイの木馬の中で、最も有名なものの1つだ。
TrickBotは動的なインジェクションを通して銀行の認証情報を窃取する機能を備え、攻撃者のコマンド&コントロール(C2)サーバから実行されるコマンドでリアルタイムに攻撃を実行する。あるいは、被害者をリダイレクトして悪意あるウェブページにアクセスさせることもある。
さらに、TrickBotは先頃アップグレードされ、リモートデスクトッププロトコル(RDP)認証情報、仮想ネットワークコンピューティング(VNC)認証情報、およびオープンソースのターミナルエミュレータ「PuTTY」の認証情報の窃取などが可能になっているという。
被害者がフィッシング詐欺に引っかかって、認証情報を渡してしまうと、窃盗や詐欺で金銭を失うおそれがある。
IBMによると、今回のキャンペーンはおそらくTrickBot関連のグループに関係するプロフェッショナルによるものとみられ、収集されたスパムサンプルは、「ほかの大規模なキャンペーンで通常見られるものよりも洗練されていた」という。
タックスシーズンには毎年、同様の問題が生じており、情報の盗難や金融詐欺を目的とする新たな技術や手法が取り入れられている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
