セキュアブレインは2012年11月8日、インターネットバンキングなどのログイン時を狙ってユーザーに暗証番号や認証関連情報を入力させようとする「ポップアップ型フィッシング詐欺」の原因となっているマルウエア(不正プログラム、広義のウイルスに含まれる)の一つを捕獲して実際の挙動を解析できたとして、その手口を公表した。
同マルウエアに関しては、10月下旬ころから国内で被害報告や相談が相次いでいる(関連記事:ネットバンキング狙う「ポップアップ型ウイルス」を警察庁が検出、相談件数は既に300件超)。8日時点で狙われたことが確認できているのは、住信SBIネット銀行、みずほ銀行、三井住友銀行、三菱東京UFJ銀行、ゆうちょ銀行、楽天銀行の6行に、クレジットカード会社の三菱UFJニコスを加えた計7社のサービス。
セキュアブレインが今回入手および解析した検体は、これらのうち、ゆうちょ銀行の「ゆうちょダイレクト」をターゲットとするタイプだったという。マルウエアに感染したパソコンで同サービスにログインしようとすると、偽の情報入力用ウインドウがポップアップ表示され、合言葉や暗証番号を詐取しようと試みる(写真1)。ここまでは既知の内容である。
ウクライナのサーバーに盗んだ情報を暗号化して送信
同社が今回、解析に成功したのはここから先のマルウエアの詳細な挙動だ。まずはポップアップ表示された偽ウインドウに情報を入力後、「完了」ボタンをクリックしてみたところ、入力した情報が暗号化された状態でパソコンから送信されることを確認できたという。さらに、宛て先IPアドレスやHTTPヘッダーなどの情報から「ウクライナのサーバー」へ盗んだ情報を送るようになっていることも突き止めている。
次に同社は、マルウエア感染前後でログイン画面を構成するHTMLソースコードに変化がないかを調べた。すると、感染後には正規のWebページを構成するコードに追記する形で偽ウインドウをポップアップ表示するコードが挿入されていることが判明した(写真2と写真3)。当然、不正コードはWebサーバー側ではなくローカルで挿入されている。これが、「正規のWebページに通常通りアクセスしているのに、なぜか情報を盗み出すための偽ウインドウがポップアップ表示される」カラクリである。
セキュアブレインではこうした手口について、「従来のフィッシング詐欺ではアクセス先URLなどを確認することで大半は不正サイトであることを確認できた」のに対して、「今回のマルウエアは、ユーザーがアクセス先URLなどから不正行為を見抜くのが非常に困難」だと分析。その理由として、上記のように「既存のフィッシング詐欺とは異なり、正規のWebサイトへのアクセスに付け足す形で不正なポップアップ画面を表示する高度な攻撃である」ことを挙げている。
感染してしまってから見抜くのが難しい以上、「そもそも感染しないようにする」ことがほぼ唯一無二の有効な対策となる。同社でも「インターネットバンキングで使用するパソコンを常にマルウエアに感染していないクリーンな状態に保つこと」が有効な防御策であると結論付けており、ユーザーに対して「ウイルス対策ソフトを必ず使用し、ウイルス定義ファイルを常に最新の状態に保つ」よう呼びかけている。
