ネットバンキング不正送金被害、史上最悪に。ウイルス「Citadel」の隠匿技術
ネットバンキング不正送金被害が、2014年5月15日、史上最悪の14億1700万円となりました。わずか4ヶ月で、昨年の14億円を突破しています。この背景について、情報セキュリティEXPOで行われたセミナーをツイート中継したので、まとめておきます。
セミナー講師は、株式会社FFRI社長の鵜飼裕司氏。「バンキングマルウェア「Citadel」お解析から得られた近年のマルウェアの動向と対策」というタイトルの、非常に興味深い講演です。
なお一般向けまとめ記事を、読売オンラインの連載「サイバー護身術」にアップしておりますので、ご参考までに。
対策ソフトで検知不能、ネット銀行被害最悪に : 読売新聞(YOMIURI ONLINE) http://t.co/YhAQubGprn
— 三上洋 (@mikamiyoh) May 16, 2014
ネットバンキング不正送金の全体像
すみませんが撮影NGのセミナーのため、写真がありませんが、ご容赦下さい。
情報セキュリティEXPOセミナー、続いては「バンキングマルウェア「Citadel」の解析から得られた近年のマルウェアの動向と対策」株式会社FFRI社長・鵜飼裕司氏。ツイート中継します
— 三上洋 (@mikamiyoh) May 15, 2014
FFRI・鵜飼裕司氏は、アメリカでセキュリティ研究を行い、FFRIを設立。IPAの研究員、制御関連のプロジェクトに詳しい。情報セキュリティEXPOセミナー
— 三上洋 (@mikamiyoh) May 15, 2014
最初にネットバンキングを狙ったサイバー攻撃の脅威動向、次にバンキングマルウェアの代表格「Citadel(シタデル)」をサンプルに、最近のマルウェアの動向と対策を取り上げる(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
すぐお金になる、直接お金になるため、ネットバンキングのサイバー攻撃の手口は、速いスピードで進化している。(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
「ネットバンキング不正送金のステップ」
1:一般・企業サイトの認証情報を詐取
2:ウェブを改ざん
3:改ざんしたサイトを閲覧した一般ゆーがマルウェア感染
4:感染PCでネットバンキングを利用する際に認証情報を詐取
5:詐取した認証情報で不正送金
(FFRI・鵜飼裕司氏)— 三上洋 (@mikamiyoh) May 15, 2014
ネットバンキングを狙った脅威の変遷。以前はフィッシング詐欺で、偽サイトで認証情報を盗んだ。それに対して昨年からMITB攻撃という手法に切り替わって被害が急増した(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
MITB攻撃とはMan In The Browser攻撃のこと。コンピュータに感染したマルウェアが、ブラウザに干渉する。ウェブサイトのアクセスを監視し、オンラインバンキングなどの利用時に不正処理を実行する。(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
MITBとは根本的にはウェブの改ざん。ウェブの改ざんは、ウェブサーバーで起きるだけでなく、クライアントのPC側でも起きる。サーバー側を乗っ取るよりも、ユーザー側のパソコンを攻撃したほうが簡単(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
MITBはいろいろな局面で起きうる。いま問題になっているのはトップページでのポップアップだが、一番まずいのは振り込みボタンを押す時のMITB。振込先や金額を変えてしまう攻撃は非常にまずい。海外ではすでに起きている(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
MITBの脅威は、対策に決定打がないこと。ソフトウェアキーボード、乱数表はNG。またワンタイムパスワードも、認証後の振り込み作業時のMITBには効果がない(すでにログインしているため)(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
銀行を狙うツールが出回っている。有名なのはZeus、Spyeye。銀行の認証情報などを収集するトロイの木馬を作成できるツール。ボタンをポチポチ押すだけで簡単にマルウェアができてしまう。また頻繁にアップデートし、セキュリティ会社の解析から逃れる工夫も(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
2013年の不正送金被害は14億6000万円(2012年は4860万円なので約30倍)。事例としては偽のポップアップが出る事件が2012年10月下旬頃から被害報告が増加。大手銀行だけでなく地銀や証券会社・クレジットカード会社も狙われている(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
海外でのMITB事例。Operation High Roller、2012年に2ヶ月で、おおよそ2000億円の被害が出た。これを見ると、日本の被害はまだ小さいのかもしれない(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
代表的なバンキングマルウェア「Citadel」の解析
次は、代表的なマルウェア「Citadel(シタデル)」の話。ネットバンキング不正送金被害で、感染者のご自宅に伺うなどして解析した。CitadelはZeusを基に開発されている。Zeusと同じようにボットネットを作りC&Cサーバー経由で攻撃する(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
Citadelはセキュリティベンダーにとって厄介。特定環境でのみ動くようになっている。これは不正コピー対策の技術を流用して実装。他のパソコンにコピーして解析しようとすると動かない巧妙なもの(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
Citadelの基本構造。一般的なマルウェアとちょっと異なる。通常は復号用の実行ファイルの中に本体実行イメージがあるのが普通。パッキングによって解析を防ぐため。しかしCitadelは復号用の実行ファイルが通常のプログラムと変わらない構造。パッキングと判断しにくい
— 三上洋 (@mikamiyoh) May 15, 2014
Citadelを実行すると、パソコン固有の環境情報(端末固有の情報)を埋め込んで実行ファイルを作る。これによりCitadelは、感染したパソコンでしか動かない。こちらはウイルス対策ソフトで検知できない場合がほとんど(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
Citadelの感染前マルウェアはウイルス対策ソフトで検知できるが、感染後マルウェアは検知できない(今までの経験からすると)。つまり一旦Citadelが入ってしまうと、発見が難しく非常に厄介だ(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
Citadelは感染する際にランダムな文字列のディレクトリを作っている。そのため1台ずつ異なるディレクトリに格納されているので、個別に認識できる。またドライブのボリュームのGUID値も参照。これにより他のパソコンでは動かない(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
Citadelの解析阻止機能。VMwareやVirtualBOXなどでは動かない。また特定のファイルやレジストリが存在している場合も動かない。セキュリティベンダーによる解析を防ぐため(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
Citadelのまとめ
●アンチウイルスを回避するための機能:端末固有情報を埋め込むことで、感染する度に検体ファイルが異なるため解析しにくい
●解析環境を検出する機能:サンドボックスでの解析を防ぐなど。日々対策が強化されている(FFRI・鵜飼裕司氏)— 三上洋 (@mikamiyoh) May 15, 2014
近年のマルウェアへの対策
▼OS・アプリケーションを最新バージョンに
▼ふるまい検知機能を持ったウイルス対策ソフトを使う:端末ごとにカスタマイズされるためパターンでの検知はできない。ふるまい検知が不可欠
▼法人でのネットバンキングは専用端末が理想(FFRI・鵜飼裕司氏)— 三上洋 (@mikamiyoh) May 15, 2014
Q:Citadelは一人が作っているふしはあるか? A:非常に大規模なプログラムであり、手が込んでいる。一人で開発するのは難しいと思われる。グループで開発しているのは確実だろう(FFRI・鵜飼裕司氏)
— 三上洋 (@mikamiyoh) May 15, 2014
以上「バンキングマルウェア「Citadel」お解析から得られた近年のマルウェアの動向と対策」、FFRI社長・鵜飼裕司氏のセミナー、ツイート中継でした。情報セキュリティEXPO2013
— 三上洋 (@mikamiyoh) May 15, 2014
ネットバンキング被害、昨年を超え史上最悪の被害額/不正送金、既に最悪被害=ネット銀58行で14億円-法人口座急増、標的拡大 http://t.co/kn4cKedU1R
— 三上洋 (@mikamiyoh) May 15, 2014
なお一般向けまとめ記事を、読売オンラインの連載「サイバー護身術」にアップしておりますので、ご参考までに。
対策ソフトで検知不能、ネット銀行被害最悪に : 読売新聞(YOMIURI ONLINE) http://t.co/YhAQubGprn
— 三上洋 (@mikamiyoh) May 16, 2014
