EMCジャパンのRSA事業本部は2013年8月27日、オンライン詐欺の最新動向を紹介する定例会を開催し、オンラインバンキングを狙うトロイの木馬の事例として、すでに旧式となった「Phish Locker」が使われるケースが2013年に入ってから増えている、と報告した(写真)。背景には、高度なツールを誰でも簡単に買える時代がいったん終わり、犯罪者の多くが旧式のツールしか買えなくなったといった状況があるという。
Phish Lockerは、現代のツールと比べると稚拙な、旧式のトロイの木馬型ソフトである。感染すると、指定したURL(オンラインバンキングなど)にWebブラウザーでアクセスしたことをトリガーに、Webブラウザーのウインドウを閉じて、代わりにフィッシング画面をポップアップ表示する。ここで入力されたデータを、電子メールを介して送信する。トリガーとなるURLはあらかじめハードコーディングされており、外部のC&Cサーバーと通信するといった仕掛けはない。
こうした旧式のツールは、オンラインバンキングを狙った攻撃には使われてこなかった。ここ数年はもっぱら、「Zeus」「SpyEye」「Ice9」「Citadel」といった最先端のツールが使われてきた。最先端のツールは機能が豊富である上に使いやすく、重要なポイントとして、お金を払いさえすれば誰でも簡単に入手できた。こうした背景から、旧式のPhish Lockerをオンラインバンキングへの攻撃に使うことは、ほとんどなかったという。
2013年に入って、この状況が変わった。現代の主流のツールであるCitadelの販売が2012年12月にストップし、新規に購入できなくなったのである。「今までの開発者たちは警察の手から逃れることばかりを考えて意気地なしになり、理想のトロイの木馬が市場からなくなった」(EMCジャパン)。大規模な犯罪者集団であればツールを使うことなく一から開発できるが、小規模な組織や個人は旧式のツールを使うしかない状況になった。
旧式ツールのPhish Lockerを使ったオンラインバンキングへの攻撃を同社が最初に検知したのは2013年1月。中南米で発見した。これ以降、Phish Lockerによる攻撃事例が増えているという。ただし、2013年7月からはCitadelを代替する最先端ツール「KINS」の販売が地下市場で始まっており、Phish Lockerを使っている犯罪者たちを含め、開発ツールの主流がKINSへと移行していくと予想している(関連記事:RSA、オンラインバンキングを狙ったトロイの木馬の新定番「KINS」を報告)。
