RSA Quarterly Fraud Report Vol.109

フィッシングという言葉が1996年に出現して以来、手口は進化し続けており、被害総額と被害者数は上昇の一途をたどっています。RSAは2003年よりオンライン犯罪対策サービス「RSA FraudAction」を提供しており（国内提供は2006年から）、トロイの木馬などマルウェア攻撃を検知し、フィッシングサイトを閉鎖しています。FraudActionの中核であるAFCC（Anti-Fraud Command Center：不正対策指令センター）は、今年で設立15年目を迎え、フロード・アナリストが24時間365日体制で数カ国語を駆使してマルウェア解析、犯罪手口の解明に従事しています。

本ニュースレターは、AFCCが定期的に公開しているインテリジェンスレポートからフィッシングやオンライン犯罪情報、統計情報をまとめたものです。犯罪者による金銭などの経済的な利得を目的とした攻撃、消費者を標的とした攻撃に関するデータと、RSA(R) Fraud & Risk Intelligenceチームによる分析を掲載しています。多様な業種、規模の消費者にサービスを提供している企業が効果的なデジタルリスクマネジメントを実現するために役立つサイバー犯罪環境のスナップショットです。（2019年第2四半期版： 2019年10月28日発行）

◆特集をより詳しく解説したレポートは、 (リンク ») をご参照ください。



犯罪の攻撃傾向： 2019年第2四半期

攻撃のタイプ別発生状況
2019年第2四半期、RSAは全世界で57,406件の不正行為を検出しました。うち、フィッシング攻撃の総件数は全体の37%を占める21,389件で、前四半期比で約10%の減少となりました。ソーシャルメディア上での不正やブランドの悪用は9,882件に増加しました。これは、全体攻撃件数の17％にあたり、前四半期7,348件から34%増加の9,882件になります。

RSAが検知した2019年上半期のグローバル規模の不正攻撃は、2018年の下期に比べて63%増加しました。
攻撃方法別増加率は、以下の通りです。

· フィッシング……6%増
· ソーシャルメディア攻撃……37%増
· 金融機関の顧客を狙うマルウェア……80%増
· 不正なモバイルアプリケーション……191%増

[画像1: (リンク ») ]

出典: RSA(R) Fraud & Risk Intelligence Services、2017年7月 - 2019年6月


フィッシングの攻撃対象となった国
フィッシング攻撃の対象国上位3ヵ国はカナダとスペイン、インドで、全体の62%を占めました。ポーランドは全体の2％を占めランクインしました。

カナダは前四半期から引き続き、最も多く標的となった国となりましたが、攻撃件数は前四半期に比べて33%減少しています。一方で、インドと南アフリカを狙う攻撃は際立って増加しています。前四半期比で、インドのブランドを狙ったフィッシング攻撃は54%、南アフリカはほぼ200％増加しました。

[画像2: (リンク ») ]

出典: RSA(R) Fraud & Risk Intelligence Services、2017年7月 - 2019年6月


フィッシング攻撃がホストされた国
ポーランドが圏外に消え、代わりに全ての攻撃の3％ほどをホストした豪州が復帰しました。米国は、前回に引き続き、最も多くのフィッシング攻撃をホストした国です。

[画像3: (リンク ») ]

出典: RSA(R) Fraud & Risk Intelligence Services、2017年7月 - 2019年6月



消費者を狙った犯罪の傾向：2019年第2四半期

不正取引の発生状況

[画像4: (リンク ») ]

出典: RSA(R) Fraud & Risk Intelligence Services、2015年7月 - 2019年6月


取引方法
モバイルブラウザーとモバイルアプリからの取引は、RSAが観測した取引全体の55%を占めました。これは、前四半期と比べてほとんど変化がありません。この3年の間にモバイルチャネル（*）の占める取引量は顕著な増加を示しましたが、モバイルバンキングの採用は横ばいです。
*モバイルブラウザーとモバイルアプリケーションを合わせた数字

[画像5: (リンク ») ]

出典: RSA(R) Fraud & Risk Intelligence Services、2015年7月 - 2019年6月


不正取引の方法
不正取引は、チャネル間で際立った移行が見られました。前四半期では、不正取引の72%がモバイルチャネル（*）から実行されていましたが、43%まで減少しました。

ウェブチャネルから実行された不正取引は、約30%増の57%に増加しました。ウェブチャネルがモバイルチャネルを上回ったのは、この3年間で初めてのことです。これが単なる例外ですぐに元に戻るのか、このまま続くのか、RSAは注視し続けていきます。モバイルチャネルを使った不正金融取引の平均額は735ドルでした。
*モバイルブラウザーとモバイルアプリケーションを合わせた数字


クレジットカードを使った正規の取引と不正な取引の比較(eコマース・地域別)
盗んだクレジットカード情報は、転売・換金のしやすい高額な商品の購入に使われるため、不正な取引の1件あたりの平均値は、おおむね正規の取引よりも高額になる傾向があり、地域による違いはありません。地域間の比較は、消費水準の違いも示唆しています。
[画像6: (リンク ») ]


顕著な差異が観測されたのは欧州で、不正取引の平均額（＄312）が正規取引（＄159）のおよそ2倍でした。英国ではこの数四半期の間、正規取引の平均額と不正取引の平均額の差異が他の地域に比べると小さい状態が続いています。


盗まれたクレジットカード情報とRSAが取り戻した情報

[画像7: (リンク ») ]

出典: RSA Fraud & Risk Intelligence Services, 2018年7月～2019年6月


分析
RSAはオンライン犯罪ストアなどの信頼に足る情報源から、重複無しで680万件を超える漏えいしたカードの情報及びカードのプレビューを確認しました。これは、第1四半期にRSAが取り戻したカード情報件数(14,268,294件)から52%減となっています。

この時期に、取り戻すことができたカード情報の件数が激減するのは珍しいことではありません。クリスマスや年末休暇のショッピングシーズンには犯罪者の犯行が増加し、被害に遭うクレジットカードの件数が増加するため、取り戻されるクレジットカードの件数も増えることになるからです。



特集： 金融機関の顧客を狙うマルウェア「Ramnit」が新たな手口で復活

RSAは、2019年上半期に金融マルウェアの攻撃が80%増加し、増加原因の一つが、オンライン犯罪者の古くからのお気に入りのトロイの木馬「Ramnit」だったことを確認しました。銀行の顧客を狙うトロイの木馬「Ramnit」は、最初に検知された2010年以来、年ごとに装いを改めながら、長く金融機関とその顧客を標的にし続けています。ユーロポール(欧州刑事警察機構)は2015年、ヨーロッパでRamnitに関連するサイトの一斉閉鎖作戦を主導しましたが、Ramnitの開発者はその後もこのマルウェアを進化させ続けてきました。

オンライン犯罪者は、新しいマルウェアをゼロから開発する必要はありません。既存マルウェアの「動作」や「感染方法」を変えるだけで、新たな亜種を作れるのです。Ramnitは、「いかに長い間、対抗策を躱しながら、マルウェアをますます洗練された脅威として進化させ続けられるか」を追い求めるオンライン犯罪者にとって、大きな可能性を示す優れた見本です。


最新のRamnit
Ramnitは元々、PCに感染し、犯罪用のプロキシサーバーを使って、銀行口座を攻撃する目的で開発されたものです。RSA Anti-Fraud Command Centerのアナリストは、最近確認したマルウェア「Ramnit」で、動作や標的、感染方法にいくつかの大きな変更があることを検出しました。

● 役割の変化
Ramnitは従来、PCに感染させ、そのPCをボット化して感染を拡大するボットネットとして使われていました。しかし昨年のRSAの観測では、現在のRamnitの作戦目標は、機密情報の入力を求める偽りのウェブサイトでクレデンシャル情報を窃取することにあります。

● 標的の変化
Ramnitは従来、北米と欧州の銀行の顧客の口座を狙うことで知られていましたが、日本の企業を狙ったケースが確認されています。

● 拡散方法の変化
Ramnitは従来、ワーム機能を使って拡散していましたが、最近では利用者に実行形式ファイルをダウンロードさせる方法を用います。RSAでは、他にもマルスパム(マルウェアを含んだスパムメール)の形や、いかがわしいウェブサイト上の広告をクリックすることでダウンロードされるようにセットされている例を確認しています。


Ramnitの運用モードに関するより深い考察
RSA Anti-Fraud Command Centerの解析によると、Ramnitは、Webインジェクションを介して、悪意のあるコードを隠蔽した実行可能ファイルを実行させることで、クレデンシャル情報を盗みます。警戒心の無い利用者が実行すると、一連のコードモジュールを感染させるプロセスが生成されます。これらのコアモジュールの中には、JavaScriptコードと標的のウェブサイトのリストを含むブラウザ・インジェクションをダウンロードするものがあります。そうしたブラウザ・インジェクションは、クレデンシャル情報などを含む機密情報の窃取のために、JavaScriptあるいはHTMLのコードを標的のウェブサイトに注入します。Ramnitは、第2のC&Cサーバーを使い、盗んだデータを受信し、保存します。


Ramnit 開発者たちの新たな変化～協力と連携の兆し
最近の「Ramnit」に見られる変化は、マルウェアとしての機能や働きに限ったものではありません。開発者たち自身の振る舞いにも変化が見られるのです。

ますます多くの犯罪者たちがFaaS(サービスとしての犯罪)モデルの利点を生かしてサイバー攻撃を実行しようとしているこの時代にあっても、Ramnitを操る犯罪集団は、FaaSモデルに背を向けてきました。彼らは、Ramnitを他者に提供したり、ソースコードを販売したりすることはなく、純粋に自分たちの犯罪活動の道具として使用してきました。そのため、Ramnitの拡散と標的は、これまでぶれることなく一貫してきました。

Ramnitを用いる犯罪者たちのこの考えが変化する可能性はあるのでしょうか。
この問いに対する答えは、近ごろ行われたRamnitとAZORultを連携させた共同作戦にあります。この共同作戦で、AZORultはRamnitのダウンロード役を担い、Ramnitは感染したPC上で他のマルウェアをインストールする役を担いました。

RamnitとAZORultの連携は、Ramnitの感染拡大を容易にしました。現時点ではRamnitが他者に門戸を開き商用マルウェアになったわけではありません。この共同作戦は、今なお同じ犯罪組織によって一貫してコントロールされ続けていることを示しているからです。またRamnitが、今にも商用化されようとしているというわけでもありません。それでも、約10年の間、群れることなく単独行動を続けていた輩が、ここに来て他のグループと連携したことは注目に値します。そして継続的に監視を続ける必要があります。


まとめ
Ramnitだけが、最新の攻撃方法を取り込み進化し続けるマルウェアというわけではなく、これがRamnitの進化の最終ステップというわけでもありません。

RSAが、WhatsAppの不正なアプリを介してマルウェアBankBotを感染させる活動を、Telegramボットを使って自動化する犯罪者を確認したのは、さほど昔のことではありません。同様にRamnitは、常に新たな標的と見込みのある攻撃方法に関心を移し続けることで、10年近くもの間、脅威を生み続けてきました。進化し続けることで生き延びてきたマルウェアと組織の闘いでは、組織は自発的かつ確固たる対抗が求められます。



日本でホストされたフィッシングサイト

日本でホストされたフィッシングサイト数は、2018年8月以降急増し、その後11月から7ヶ月の間低水準で推移。6月と7月にやや増加に転じた後、8月は激減しています。

[画像8: (リンク ») ]

出典: RSA Fraud & Risk Intelligence Services, 2018年7月～2019年6月

フィッシング対策協議会に報告された国内のフィッシング攻撃件数の変化は、日本でホストされているフィッシングサイトの減少とは対照的で、2019年1月から9月までの間、1,713件から6,218件と、半年余りで約3.6倍に増えました。特にAmazon、LINEを騙るフィッシングメールの報告数は、それぞれ8月の約1.7倍になったということです。その他にも、Apple、楽天、マイクロソフトをかたるフィッシングメールも大量に配信されているということです。

同協会から注意喚起が出ている個別の攻撃は、以下のブランドを騙るものです。
——日本郵便、三井住友銀行、イオンクレジットサービス、マイクロソフト、LINE 　など

プレスリリース提供：PR TIMES (リンク »)