ニュース
» 2016年02月01日 18時11分 UPDATE

攻撃の規模も拡大中:マルウェアの活動範囲が日本に拡大、ファイア・アイが警告

米ファイア・アイは、オンラインバンキングユーザーを狙ったマルウェアが日本で拡大していると警告した。

[@IT]

 米ファイア・アイは2016年1月26日(米国時間)、日本のオンラインバンキングユーザーを狙ったマルウェアに関する情報をブログで公開した。それによると、従来、欧州が主な活動範囲であったマルウェアが日本に向けて活動を拡大しているという報告があったが(IBM X-Forceの報告)、これとは別に、日本国内で迷惑メールを使った活動も観測しているという。観測されたのは、URLZone(別名:Shiotob/Bebloh)と呼ばれるマルウェア。

 URLZoneはオンラインバンキングユーザーを狙った「トロイの木馬」で、標的とする金融機関の情報を含む構成ファイルをダウンロードし、Webインジェクションを使って認証情報を窃取する。今回使われたURLZoneには、既知の特徴に加え、新しい特徴が備わっていていたという。

 具体的には、正規のプロセスをマルウェアに置き換える方法で自身を隠蔽する手法を使う。まず「explorer.exe」または「iexplorer.exe」に偽装するプロセスを起動し、その子プロセスとして悪意あるルーチンを実行。wab32.dllとWindows Address Book(WAB)ファイル名を探索して、格納されている電子メールアドレスを摂取しようとしたりするという。

 ブログでは、ファイア・アイが2015年12月に観測したマルウェアの活動状況が公開されている。それによると、ファイア・アイでは2015年12月16日と12月21日に日本国内のユーザーを対象とした大量のスパムメールの送信を観測したという。

spam_graph.gif ファイア・アイが観測したマルウェアの活動状況
mail_sample.gif URLZoneのスパムメールのサンプル メールの送信元ドメインには「softbank.jp」や「yahoo.co.jp」が多く使われている。添付ファイルはzip形式のアーカイブファイルを装っているが、実際にはexeファイルを展開する二重拡張子が使われている(出典:ファイア・アイ)

 同社では、2016年1月19〜20日にも日本を標的としたURLZoneスパム攻撃を観察しており、2015年12月に観察した攻撃に比べてその規模が大きくなっているという。今後、日本での活動をさらに拡大する恐れがあるとしており、送信者不明の電子メールについては、十分注意して閲覧するよう警告している。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。