MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2014年12月 世界のマルウェアランキング

この記事をシェア
2014年12月の月間マルウェアランキング結果発表
目次
英国で広がる銀行カード回収型詐欺
David Harley、ESETシニアリサーチフェロー

私も以前取り上げましたが、今号で触れる「銀行カード回収型詐欺」は非常に洗練されており、最近になって英国からこの詐欺に関する新たな報告が届きましたので、まだ詳細を把握されていない方を対象に最新情報をお届けします。手口の一部については日本や米国のユーザーも頭に入れておく必要があるでしょうが、米国ではチップやPINがあまり使用されないなど、地域的な差異もあります。英国でのケースに基づくレポートであることを念頭にご一読ください。
報告されているとおり、この詐欺は、詐欺師が銀行の金融犯罪対策室の職員(または警察官)を装い、ターゲットの銀行カードで不審な取引が確認されたと伝える、というのが本質です。銀行が突然電話をかけてきて、取引内容の確認を要求するケース自体は珍しくないのですが、(報告によると)その後の展開は大きく異なります。

相手から必要な情報を引き出す
取引先の銀行(または他の「公的機関」)の職員を名乗る人物から予期せぬ電話がかかってきた場合は、相手の素性の把握に努めましょう。あれこれ質問されるでしょうが、本当に身元確認が必要なのは相手の方です。何といっても、相手に電話番号を知られているわけですから。中には、ターゲットが銀行カードの裏面に記載されている番号に問い合わせるようほのめかし、一方で自分側は電話を切らないままにしておく詐欺師もいます。つまり、通話状態は維持されたままになっています (電気通信事業者などでは、正当な通話を内線転送する場合に時間を確保する目的で行います)。

このようなケースに遭遇した経験がある方は、相手に電話を切るよう言い出せない、聞こえるはずの発信音を待たない、電話をかけられないことに気付かない、または“別の”番号にかけたときに呼び出し音なしで相手が応答しても気に留めない、のいずれかに該当すると思います (ただし、ターゲットに電話が切られていると思い込ませるために録音された発信音を流すケースもあるそうです)。心当たりがある方は、もっと気を配る必要があるでしょう。不安であれば、まったく関係のない番号にかけて、“取引先の銀行の職員”または“警察官役”が出るか、あるいはその番号の本物の所有者が応えるかを確認してみてください。ちなみに、一方が受話器を置いた場合、通話状態が永久に維持されるということはありません。いずれにせよ、詐欺師としても要件を済ませたら速やかに電話を切り、次のターゲットに電話をかけたいところでしょう。なお一方、電話が切られていない場合、通話が自動的に終了するまでには数分程度かかるとみられます。いくつかの情報源によると、おおよそ6~12分とのことですが、国際電話の場合は処理に時間がかかり、12分は見ておいた方が無難かと思います。このような電話で相手から特定の番号にかけ直すよう指示された場合、別の固定電話(利用可能な場合)か、モバイルデバイスからかけて真偽を確認してみる価値はあります。

詐欺師が、カードの裏面に記載されているのと異なる番号を指定することも当然あります。それでも「今から言う番号にかけてください」と言えば、ターゲットはまずその番号にかけてしまうでしょう。ただし、あり得ない番号を指定してきた場合は、同じ手法を使用して通話状態を維持していると考えて間違いありません。詐欺師は、何としても通話状態を維持し、一方で自分側はミュートにして、ターゲットに電話が一時的に切られていると信じ込ませなければならないのです。

PINの入力を要求
その後、詐欺師は口座の詳細情報が必要だと述べ、PIN(暗証番号)の入力を要求します。

そもそも銀行は、本人確認に全ての詳細情報を必要としません。例えば、「合言葉」の2番目、4番目、最後の文字や一風変わった秘密の質問(「母親の旧姓」など)の答え、さらにはカード番号の下4桁などを聞いてくる銀行はあります。こうした情報はいずれも、別の手法で収集された情報と組み合わせることで詐欺師にとって大きな武器となる可能性があります。しかし、銀行は口座の詳細情報を把握していますから、緊急事態だからといってカードのセキュリティコード(裏面に記載されている3桁の数字)のような情報を必要としないのです。電話相手が全ての情報を要求してきたら、その目的は詐欺以外にありません(もっとも、本物の金融機関の中にも、いまだに電話での問い合わせという安全性の低い手法を採用しているところがありますが)。

銀行がPINの入力を求める正当な理由はありません。本物の銀行員であれば、すぐに確認できますし、カードを利用停止にする、または新しいカードを有効化する必要もないのです。PINを入力すれば、詐欺師の携帯端末に記録されてしまう、という事態を肝に銘じてください (もし銀行側がカードの不正利用を確信していたら、おそらく間違いなく当該利用者に連絡する前にカードを利用停止にしていたことでしょう)。

口座番号を教えた時点で、その銀行名まで相手に知られてしまいます。相手が会話のどの時点で銀行名を出したか(会話の初めか、それとも本物の銀行員であると思い込んでしまい、会話の途中で銀行名を自分から口にしてしまったか)に留意してください。ターゲットが利用している銀行やクレジットカードの種類といった情報を入手する方法は他にも多数ありますが、詐欺師はターゲットとの会話や電話帳を情報源としており、ほぼ無作為に詐欺電話をかける方が一般的とされています。

来訪者にカードを渡すよう指示
次の段階で詐欺師は、“セキュリティ侵害に遭った”カードを回収するために自ら来訪するか、使いを寄こすと伝えます。これが本物の銀行と見分ける決め手となります。セキュリティ侵害に対処するためとはいえ、こんな手間暇をかけていたら銀行に貯えがいくらあっても足りません。カードの利用停止は簡単な処理で済み、当該利用者から特に情報を聞き出す必要はありません。はっきり言って、ほとんどの銀行は顧客の大半にそれほど気にかけていないので、こうした「迅速な対応」には及び腰です。銀行が望んでいる対応はもちろん、郵送返却です。その後、銀行が新しいカードを郵送した際には、電話での受領確認を希望したいところかもしれません。いや、だからこそ職員がカードを持ってきてくれれば、問題は解決するのですが、本物の銀行の業務内容に意見する場ではないので話を戻します。銀行の職員を名乗る人物が訪ねてきて“セキュリティ侵害”に遭ったカードを回収し、その引き換えに新しいカードを差し出してきたら、詐欺と考えてください。まっさらな銀行カードを用意し、ターゲットから聞き出した情報をすべて記載して本物の再発行カードに見せかけることはそれほど難しくありません。そのカードが使用できないのは言うまでもないでしょう。ターゲットから得た情報からカードを正確に偽造する技術力を持ち合わせていたとしても、詐欺師に考慮の余地はありません。これから現金を引き出そうとしている口座に、別のカードからアクセスされては元も子もありませんから。

カード回収型詐欺師にとって受け子に報酬を払うというのは、意外と合理的な選択のようです。受け子を用意する段階まで到達したら、詐欺師は成功をほぼ確信しているのでしょう。ターゲットは、連中の活動拠点の(極めて)近辺に住む人々に絞っているとみられます。西アフリカやインド発の電話詐欺が広く知れ渡り、多くの人が「ネイティブではない」英語からの電話を受け取ると無条件で警戒する今日の状況を考慮すれば、その方がおそらく理にかなっているのでしょう。

カードを切断
報告を受けた例では、詐欺師は、ターゲットに対し銀行カードを渡す前に切断するように助言するのですが、その後でATMで使えるようセロハンテープで補修します。こうしたケースでは使用できないように細かく切断される場合もありますから、テープで補修したカードが本当にATMで使えるのかはわかりません。それでも、電話でのやり取りからでは入手できなかったカード情報の取得や確認に使用されており、こうした情報を基にカードの複製や、オンラインで行われる「カード不介在」(CNP)詐欺が行われているのも確かです。

電話詐欺の別パターン
ロンドン警視庁(「Met」)のアラートによると、次のような別パターンも確認されています。

  • ターゲットの銀行口座から多額の現金を引き出し、“警察の捜査”の一環として、おそらくはアジトに持ち帰ることを目的とするケース。ある時点で、連中は現金を引き出し、銀行の口座へと再度入金します。残念ながら引き出された現金の行き先は、ターゲットではなく詐欺師の口座です。もちろん、紙幣の識別につながる痕跡も残しません。彼らは、警察の捜査を助けるようなヘマが何かよく知っています。
  • 「ブランド時計など高額な商品」を購入させ、引き渡すよう迫るケース。その仕組みはわかりませんが、詐欺師にとって魅力的なメリットがいくつかあるのは確かなようです。

留意すべきポイント
  • 一般に、銀行員が利用者の自宅を訪ねることはありません。
  • セキュリティ侵害を受けた銀行カードの利用停止は、非常に簡単です。停止する際に銀行は特に情報を必要とせず、緊急事態でも利用者に要求することはまずありません。
  • 利用者の身元確認のために、あらゆる口座情報やPINの入力を要求することもありません。銀行では通常、インターネットバンキングやテレフォンバンキング、ATM取引、窓口取引にそれぞれ異なる認証方法を採用しています。
  • 警察は、カードの交換サービスを提供しておらず、内密な捜査協力を要請することもそうそうありません。PINの入力も要求しません。
  • 正当かつ誠実な宅配サービスやタクシーサービスでも、不正な目的で利用される可能性があります。
  • 自分側で電話を切ったからといって、通話がすぐに終了するわけではありません。この仕組みは、悪用のリスクを考慮していずれ変更されるかもしれませんが、未だにそうならないのには理由があります。例えば「999」(英国の緊急通報用電話番号)にかかってきた電話が切られた場合でも、オペレーターは通話を追跡できます(呼び出し側が強迫されて電話を切った場合など)。米国の緊急通報用電話番号「911」が同様の仕組みかどうかはわかりません。

この詐欺は、いくつかのリソースではビッシング詐欺として言及されています。この表現には私も同意です。ただし、今回取り上げたのはビッシング(Voice over IP(VoIP)フィッシング)の1種に過ぎず、ビッシングがみなこのようなタイプとは限りません。今後もフィッシングメッセージに、Webサイトへのリンクではなく電話番号が記載される場合があるでしょうが、これはもちろんURLよりも信頼されると見込んでのことです。

最後に、私がこの問題を最初に調査した際にサポートしてくれたMartin Overton、Richard Clayton、そしてAnti-Phishing Working Groupの皆さんに心より感謝の意を表したいと思います。

 

ESETのコーポレートニュース

2015年のサイバー犯罪の主要トレンドと予測を発表
ESETは、2015年のサイバー犯罪の主要トレンドと予測についてまとめました。2014年のセキュリティ業界を席巻したトピックはインターネットプライバシーとAndroidを狙うマルウェアでしたが、2015年は、モノのインターネット(Internet of Things)やモバイル決済に便乗した高度なサイバー攻撃とリスクの増大が最重要トレンドになるとESETは見ています。

ESETのオンラインスキャンサービスがFacebookで利用可能に
ESETは、ソーシャルネットワーキングサービスを提供するFacebookによる無償のマルウェア対策の支援の一環として、すべてのFacebookユーザーが「ESET Online Scanner for Facebook」を利用できるようになったと発表しました。このソリューションは、ユーザーのFacebookアカウントをスキャンして有害なマルウェアの有無を確認し、見つかった場合はデバイスから速やかに駆除できるよう対応します。
ユーザーが使用しているデバイスの動作が疑わしく、マルウェア感染の可能性を示す兆候が見られる場合は、ESET Online Scanner for Facebookを実行して問題に対処するよう推奨するアラートが表示されます。ユーザーは、Facebookからログアウトすることなく、スキャンを実行して結果を確認し、マルウェアをすべて無効化できます。こうして、感染デバイスからマルウェアをシームレスかつ簡単に駆除することが可能になります。

マルウェアランキングトップ10
1. HTML/Refresh[全体の約2.82%]
前回の順位:1位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
2. Win32/Bundpil[全体の約2.54%]
前回の順位:2位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。HTTPプロトコルを使用してC&C(指令)サーバーと通信を行い、新しい命令を受け取ります。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.

3. Win32/Adware.MultiPlug[全体の約2.39%]
前回の順位:3位
Win32/Adware.Multiplugは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。ユーザーのシステムに侵入すると、そのユーザーがWebサイトの閲覧中にポップアップ広告が表示されるようにします。
4. Win32/TrojanDownloader.Wauchos[全体の約1.87%]
前回の順位:4位
このトロイの木馬は、インターネットから別のマルウェアをダウンロードしようとします。オペレーティングシステムや設定、コンピューターのIPアドレスに関する情報を収集します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートのコンピューターもしくはインターネットからのファイルのダウンロードや実行ファイルの実行、レジストリーエントリーの登録、感染先のコンピューターからの自身の削除を行う場合があります。
5. Win32/Sality[全体の約1.39%]
前回の順位:5位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
6. LNK/Agent.AK[全体の約1.31%]
前回の順位:6位
LNK/Agent.AKは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。この脆弱性はStuxnetの発見に伴い知られるようになり、その亜種によって悪用された4つの脆弱性のうちの1つでした。
7. INF/Autorun[全体の約1.22%]
前回の順位:8位
INF/Autorunは、autorun.inf設定ファイルの中で、マルウェアによって作成されたものの汎用検出名です。この悪意のあるファイルには、マルウェアの実行ファイルへのパスが記述されています。感染したドライブをマウントするとマルウェアの実行ファイルが自動実行されるようにするため、通常はアクセス可能なすべてのドライブのルートフォルダー内に作成されます。Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
8. LNK/Agent.AV[全体の約1.21%]
前回の順位:ランク外
LNK/Agent.AVは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
9. JS/Kryptik.ATB[全体の約1.19%]
前回の順位:ランク外
JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
10. Win32/Ramnit[全体の約1.18%]
前回の順位:9位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2014年12月度のランキングは、「HTML/Refreshl」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち2.82%を占めています。

2014年12月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!