EMCジャパンのRSA事業本部は2012年3月28日、オンライン詐欺の最新動向を紹介する定例会を開催し、HTMLインジェクション攻撃としては初めて、多国語に対応した攻撃を発見したと発表した(写真1)。Webブラウザーでアクセスするページの言語に合わせて、ページの内容を改ざんするという。
今回、新たに発見したのは、HTMLインジェクションで使われるトロイの木馬「ICE IX」の亜種である(バージョン1.2.2.3)。この亜種の最大の特徴は、攻撃対象者がWebブラウザーでアクセスしているページの表示言語をHTMLタグなどから抽出し、あらかじめそれぞれの言語ごとに用意しておいたパターンでページを改ざんする点である。イタリア語、フランス語、ドイツ語、トルコ語、北米圏の英語、英国の英語、豪州の英語に対応している。
前提となるHTMLインジェクション攻撃とは、攻撃対象者のパソコン上でトロイの木馬型のマルウエアを動作させることによって、Webブラウザーが解釈/表示するWebコンテンツ(HTML)を書き換えるもの。あらかじめ指定したURL(金融機関)にアクセスすると、自動的にページが書き換えられ、クレジットカード番号といった、犯罪者が取得したい情報の入力を促すフィールドが追加される仕組み。このフィールドに情報を入力すると、犯罪者のサーバーに情報が送られる。
HTMLインジェクションが多言語化することによって、犯罪者から見ると、より効率よく情報を収集できるようになる。例えば、これまでは地域ごと(言語ごと)に別個の攻撃を仕掛けていたが、これからは、地域をまたいで企業(金融機関)単位で攻撃を仕掛けられる。HTMLを書き換えるトリガーとなるURLの表記も単純化できる(地域を表わすトップレベルドメインを羅列する必要がなくなる)。世界中どこの地域からであっても、ある金融グループにアクセスすると、その地域の言語に合わせてコンテンツを書き換えることができる。
