金融を狙う不正送金マルウェアは銀行を破綻させるか

金融機関は時として高度に仕掛けられる攻撃に対して脆弱な存在です。おおっぴらにそのことを認める金融機関はほとんどないでしょうが、ゼロデイ攻撃が勃興してからの脅威を考えると、その事実から目を背けることはできません。最近、ワシントン・ポスト紙に、Kaspersky Labのマネージング・ディレクター、Christopher B. Doggett氏の記事が掲載されました。彼のチームは、ITセキュリティー侵入テストを実行し、ある金融大手の上場企業を15分もしないうちにハッキングできたそうです。しかし、攻撃のベクトルはこれだけではありません。新しいIBM Security Trusteerが金融マルウェアの世界に飛び込んで調べた結果、ある事実が明らかになりました ― それが至るところにあるということです。

金融マルウェアに対する効果的な防御策

マルウェアの問題に対処するために、金融機関は認証プロトコル、異常検出、およびデバイスIDアプローチを組み合わせて不正行為に対抗していきます。問題は、これらの方法が多分に行き当たりばったりである場合があることです。Trusteerの調査報告によれば、「現代のサイバー犯罪者は、ほとんどの金融機関で展開されている防御テクノロジーについて認識しており、それらの監視を迂回するように攻撃を組み立てている」そうです。

ソーシャル・エンジニアリング・ツールを使用すれば、認証をくぐり抜けることができるため、合法的なログイン情報がマルウェアの作者の手に渡ってしまいます。一方、トランザクション検出ソリューションやデバイスIDソリューションは正確性を欠いており、おびただしい数の誤検出を生み出すため、ITスタッフはそれらをつぶす作業に追われます。これは、良く言っても、無駄なリソースを費やして合法的なトランザクションをチェックしているというところでしょう。悪くすれば、こうした不要な情報の氾濫はカスタマー・エクスペリエンスを悪化させてしまいます。

目立たずにいることの特権

銀行のセキュリティーをかいくぐり、ログイン認証情報を手に入れる方法として、サイバー犯罪者はソーシャル・エンジニアリングを用いています。つまり、悪質な添付ファイルをダウンロードするのも、コンピューターを感染させるのも悪くはない、とユーザーに思い込ませる方法を彼らは必要としているわけです。それは実際、とても簡単です。例えば、ユーザーの銀行を装い、実際のロゴから連絡先情報まで、あらゆる情報を記載したEメールを作成する詐欺師がいます。このEメールは通常、不正行為を防ぐためにIDを確認するよう顧客に依頼していますが、実際には、IDの「確認」がこの不正行為を招くことになります。マルウェアの作者は、人間の社会性を利用して、常識を少しずつ弱体化させていきます。つまり、どんなに合法的なものに見えても、Eメールに答えてログイン認証情報を渡すべきではないのです。

あなたは感染している!

サイバー犯罪者は、それ以外にもさまざまな方法を用いてコンピューターを感染させます。例えば、偽装ファイルを添付したEメールを作成し、そこにマルウェア・ペイロードを潜ませたり、ソーシャル・メディアや有名なWebサイトの広告スペースの料金を支払い、この広告を悪質なJavaScriptに感染させたりします。中には、感染サービスやダウンローダーを作成し、他のマルウェア・ユーザーに販売して、複数のマシンに感染させる人間もいます。一部のアプリケーションやインターネット・ブラウザーに含まれる脆弱性には、詐欺師がマルウェア・ペイロードを導入し、ユーザーのアクションなしでマシンを感染させられるものもあります。例えば、最近のZDNetの記事によれば、Googleのエンジニアが、セキュアだと考えられていたGoogle ChromeのバリアントAviatorをハックできてしまったという事例もあります。

他人の物を横取り

標的を感染させた後でも、マルウェアの作者は関連する情報を手に入れる必要があります。Trusteerによれば、情報の入手経路は複数あります。おそらく最も簡単な方法は、顧客のログイン画面のスクリーンショットを撮り、マルウェアの攻撃指令(C&C)サーバーにEメールで送信することです。マルウェアによっては、キーロギングを利用してユーザー名とパスワードを手に入れるものもあります。あるいは、セッションCookieをハイジャックして、見かけだけは合法的なコピーを作成するバリアントもあります。

さらに、ドメイン・ネーム・システム構成を改変し、セキュアであるはずのWebサイトにブラウザーをリダイレクトするという方法もあります。こうすれば、一度に1台ずつマシンを感染させなくても、同時に複数のユーザーから認証情報を入手できます。さらに最近のバリアントの中には、ヒューマン・マシン・インターフェースのデバイス・ドライバーやその他のファイルを装い、ICS/SCADAネットワークを狙う金融マルウェアがあります。Dark Readingによれば、新型のStuxnetや、それによく似たトロイの木馬ばかりを警戒しているICS/SCADAネットワークは、金融詐欺にとっては「格好の餌食」です。

作戦実行

プロセスの最後の手順は作戦実行です。実行内容は、複数の幅広いカテゴリーに分類されます。口座乗っ取り攻撃では、サイバー犯罪者は独自のデバイスを使用して顧客の口座にアクセスし、不正なトランザクションを実行します。これらの攻撃は多くの場合、短時間で終わります。金融機関は現在、システマチックな資金移動に対し、金額が大きい場合や移動先が不審なケースを監視しているためです。また、悪質な犯罪者が自動トランザクション・システムを利用し、合法的なトランザクションを臨機応変に改変することもあります。

この犯罪行動は、検出がやや困難です。なぜなら、元のトランザクションはユーザーによって始められたものであり、承認プロセスの途中で変更されるためです。ほとんどの場合、詐欺師と被害者の間に間隔を置くために、資金はいったんミュール(運び屋役)の口座に回され、そこから再び転送されます。ミュールの口座を持っている人間は多くの場合、覆面ショッピング・リサーチや送金取扱企業のサービス評価などの「合法的な」仕事にオンラインで勧誘された存在であり、自分がその仕事の報酬を受け取っているだけだと信じています。

銀行に頼るだけ?

最終的に、金融を狙う不正送金マルウェアは銀行と消費者の間の通信を遮断します。顧客の口座の安全を確保する責任は銀行にありますが、多くの場合、顧客がそそのかされて自分の情報を渡しているのです。この問題を解決するには、2段構えの取り組みが必要です。銀行は、詐欺行為を最初から最後まで追跡できる多層構造の防御策に投資する必要があります。その一方で、ユーザーも自分の認証情報を守るために細心の注意を払い、オンラインで不審な行動に遭遇したら報告するべきでしょう。マルウェアの脅威は増加の一途をたどっており、金融詐欺のライフ・サイクルも長期化しています。

銀行への不正侵入は今や日常茶飯事です ― しかし、その災難は必ず防ぐすべがあります。

(出典:Security Intelligence より訳出 “Is Financial Malware Breaking the Bank?”BY DOUGLAS BONDERUD 2015年1月20日)