かつてアメリカ大陸に生息した史上最大の狼「Dyre Wolf」。これと同じ名を持つ凶悪なマルウェア(有害な動作を行う意図で作成された悪意のあるソフトウェア)Dyreが猛威を振るっているようです。
標的となった企業の被害総額は最近だけでも50万〜150万ドルに上り、攻撃はさらに高度化し広がり続けています。2014年に出現して以来、進化し続けているDyre Wolfとは、どのようなものなのでしょうか?

止まらない感染

日本でも、年金機構という超巨大組織がハッカーの標的になり、およそ100万人の個人情報が流出したのは記憶に新しいところですが、Dyre Wolfの特徴も、巨大企業を標的として大きな被害を作り出していることです。その手口は巧妙で、Dyreマルウェアの感染数だけをみても、当初500件だったところから、2014年10月の時点で3500件近くにまで急増しました。ではなぜ、そこまで感染は広がったのでしょうか。

多様な攻撃手法

Dyre Wolf攻撃は、スピアと呼ばれるフィッシング・メールを使ってDyreマルウェアに感染させ、それを実行。そして攻撃の終了段階でDDoS(ハッカーに乗っ取られた非常に多くのPCが、一斉に標的となったサーバーにアクセスし、ダウンさせたりする攻撃)を仕掛けるという流れです。そしてその目的はソーシャル・エンジニアリングによって銀行取引の信用情報を盗み出し、最終的には被害者の口座から資金を不法に持ち出すことにあります。

組織化されたサイバー犯罪集団

Dyreによる攻撃を仕掛けているのは、世界中に広がる、経験も資金も豊富なサイバー犯罪集団です。その誕生以来、手口はより巧妙で悪質なものとなり、2段階認証でさえ、くぐり抜けてしまうような高度なソーシャル・エンジニアリングの手法を組み込んで、企業の口座に攻撃を仕掛けています。

Dyre Wolfはそんなサイバー犯罪集団が編み出した一連の攻撃方法です。

ハッカーはまず、多額の電信送金を頻繁に行う企業を狙って、マルウェアが仕込まれた多数のフィッシング・メールを送り付けます。ちなみにこの段階で、よく使用されているウイルス対策ツールの大半がこのマルウェアを検知できなかったことも、被害が拡大した要因のひとつでしょう。

そしてDyreマルウェアに感染した被害者が、ターゲットとされた数百の銀行のWebサイトのいずれかにログインしようとすると、法人向けの銀行取引サイトではなく、別の画面が表示されます。このページでは、「サイトに不具合が発生したため、表示されている番号に電話をかけてログインについて助言を受ける必要がある」という説明がされ、被害者を電話へと誘導するのです。
もちろん、その電話番号はハッカーが用意した偽物です。
そして被害者は偽のオペレーターに騙され、自社の銀行取引に関する情報を開示してしまうのです。

被害者が電話を切るとただちに資金の移動が開始され、銀行や警察による発覚を逃れるために、海外の銀行から銀行へと送金が行われます。
そして最後の仕上げとして、標的となった企業は、DDoSを仕掛けられるのです。IBMはその目的を、企業が不正に気付いたとしても、もはや手遅れになる段階まで、電信送金から目をそらしておくことであったと推察しています。

人為的ミスの削減が被害を抑える

そもそもDyre Wolfがここまで広まった原因は、企業の従業員が疑わしい添付ファイルやリンクを開いてしまったことです。
IBMのCyber Security Intelligence Indexでは、すべての攻撃の95%に何らかの人為的なミスが関与していたことが指摘されていますが、ハッカーはそうした人的要因を突いてくることで、首尾よく数百万ドルを盗むことができたのです。

Dyre Wolfの攻撃手順

大企業を標的としたサイバー攻撃「Dyre Wolf」とは

こうしたマルウェアによる被害を防ぐには、なによりも人為的ミスを減らすことが大切です。
社内でセキュリティに関する危機意識を持ち、ハッカーの手口を周知させ、セキュリティ対策を理解する社内教育が重要です。
たとえば、攻撃の初期段階であるフィッシングメールや一連のやりとりなど、一見本物に見えても、よくよく考えてみればどこかしらおかしな部分があるものです。
日本の銀行であれば「行員が電話でATMの暗証番号を聞くことはありません」といったことが掲示されていますが、銀行が取引の信用情報を電話で開示するよう求めることなどはないとわかっていれば、ハッカーにやすやすと大切な情報を与えてしまうこともなかったはずです。
サイバー攻撃の被害を防ぐには、社員の危機意識の高さはもちろん、セキュリティに関する教育が欠かせないのです。