編集部からのお知らせ
新着記事まとめPDF「IBM分社のキンドリル」
ZDNet Summit 2021開催のご案内

「TrickBot」マルウェア利用の攻撃、タックスシーズンに企業など狙う--IBM X-Force報告

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2019-04-09 11:36

 米国でタックスシーズンの終わりが近づいている。タックスシーズンは、ハッカーが詐欺を働く絶好の機会となるようだ。企業や個人が期限までに手続きを進めようとする中、サイバー犯罪者は、フィッシングの手法などによってそうした企業や個人の動きにつけ込もうとしている。サイバー犯罪者は世界中で、金融情報を盗むことを狙い、フィッシングの仕組みで同様の手法を利用している。銀行や米内国歳入庁(IRS)などの組織を装う例も多い。IBM X-Forceによると、2019年も税金に関連する詐欺の動きがみられるという。また、2019年の詐欺の多くは企業を標的にし、トロイの木馬「TrickBot」を展開しようとしているという。

 IBM X-Forceの研究者であるMartin Steigemann氏とAshkan Vila氏は米国時間4月8日、そうした詐欺の中で特に3つのスパムキャンペーンに注目している。それらのフィッシング詐欺の狙いは、会計や税金、給与支払いなどのサービスを提供する企業になりすまして被害者をだまし、難読化されたマクロが埋め込まれた悪意ある「Microsoft Excel」文書を受け入れさせることにある。

 これらのキャンペーンでなりすましに利用されているのは、給与計算システムのPaychexや人材関連業務企業のADPなどだ。企業の電子メールアドレスと個人の電子メールアドレスの両方が標的になっているが、通常は一般的な消費者よりも企業の方が潤沢な資金を持っていることから、ビジネスメール詐欺(BEC)の方がはるかに大きな利益を得られる。

 IBMの研究者は、「TrickBotが潜在的に脆弱なデバイスにインストールされ、ネットワーク上のほかのデバイスに到達すると、さらに拡散するおそれがある。通常、組織内で不注意な人を1人だけ見つけるだけで、攻撃者は内部に侵入することができる」と述べている。

 悪意あるドキュメントは、TrickBotをダウンロードして展開する機能を備える。TrickBotは金融機関を標的とする現存のトロイの木馬の中で、最も有名なものの1つだ。

 TrickBotは動的なインジェクションを通して銀行の認証情報を窃取する機能を備え、攻撃者のコマンド&コントロール(C2)サーバから実行されるコマンドでリアルタイムに攻撃を実行する。あるいは、被害者をリダイレクトして悪意あるウェブページにアクセスさせることもある。

 さらに、TrickBotは先頃アップグレードされ、リモートデスクトッププロトコル(RDP)認証情報、仮想ネットワークコンピューティング(VNC)認証情報、およびオープンソースのターミナルエミュレータ「PuTTY」の認証情報の窃取などが可能になっているという。

 被害者がフィッシング詐欺に引っかかって、認証情報を渡してしまうと、窃盗や詐欺で金銭を失うおそれがある。

 IBMによると、今回のキャンペーンはおそらくTrickBot関連のグループに関係するプロフェッショナルによるものとみられ、収集されたスパムサンプルは、「ほかの大規模なキャンペーンで通常見られるものよりも洗練されていた」という。

TrickBot

 タックスシーズンには毎年、同様の問題が生じており、情報の盗難や金融詐欺を目的とする新たな技術や手法が取り入れられている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]