ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. Techコラム
ここから本文です。

Techコラム

日本の企業・組織を狙う「RIG EK」と情報窃取型マルウェア「URSNIF」とは

2017年1月17日から旧正月直前の1月26日まで、さまざまな日本語の件名によるマルウェア添付メールが多数配信されました。メールにはZIPファイルが添付されており、開くと情報窃取型マルウェアが展開されます。本コラムでは、攻撃者が使う攻撃ツールの「RIG EK」と日本の企業・組織を狙う情報窃取型マルウェアの「URSNIF 別名:Goziなど」について解説いたします。

1.情報窃取型マルウェアが増加

TrendMicro社の統計によりますと、日本国内でのマルウェア検出台数は、2016年1月から11月だけで9万8千件となりました。これは日本にバンキングマルウェアが本格的に流入した2012年以降で最大の検出台数です。2015年の1年間と比べても、約3.4倍に増加しています。被害金額の最新データについては、下記の通りです(2017年3月1日調査時点)。

2.情報窃取型マルウェアの動向(2016年1月~2017年1月)

2016年は、正規サイトに仕掛けられた Exploit Kitを介した攻撃や、スパムメールによるさまざまなマルウェア拡散が発生しました。

2016年01月 バンキングマルウェアCitadelが復活、拡散
2016年02月 日本郵政を騙るスパムメールでマルウェア「Rovnix」が拡散
ネットバンキングユーザーを狙う「Bebloh 別名:URLZone、Shiotob」が拡散
2016年03月 2月に続き「Bebloh」が拡散
2016年04月 バンキングマルウェア「SpyEye」作成の容疑者に9年6カ月の実刑判決
2016年06月 JC3がバンキングマルウェア「URSNIF」の注意喚起(注3)
2016年07月 宅配事業者を騙るスパムメールで「Bebloh」が拡散
2016年09月 宅配事業者などを騙るスパムメールで「URSNIF」が拡散
石川県警察本部が「URSNIF」による被害について報告(注4)
2016年11月 JC3が警察庁と連携してウイルス付メールの注意喚起を開始(注5)
Europolが世界的サイバー犯罪ネットワーク「 Avalanche」を摘発(注6)
2017年01月 スペインの捜査機関が「VAWTRAK」作成の容疑者一人を拘束(注7)

日本国内では、一般財団法人 日本サイバー犯罪対策センター(以下、JC3:Japan Cybercrime Control Center)が官民連携して、2016年6月にバンキングマルウェア「URSNIF 別名:Gozi」の注意喚起を行い、その後、2016年11月からウイルス付メールの注意喚起をWebやSNSを介して展開しています。海外では、欧州刑事警察機構(Europol)が、英国やドイツの法執行機関、FBI、インターポールなどと協力して大規模な犯罪ネットワーク「Avalanche(アバランシェ)」の37拠点を捜査、容疑者5名の逮捕、39台のサーバの押収、ホスティングされていた221台のサーバをオフラインに追い込み、80万件以上のドメインをブロックしました。当該組織による被害は180カ国以上、被害金額は全世界で数億ユーロ以上と言われています。これにより、バンキングマルウェアの URLzone (aka Bebloh)、Citadelやランサムウェアの TeslaCryptなど 20種のマルウェアファミリーで使用されていた攻撃インフラを閉鎖に追い込みました。法執行機関の捜査を逃れるために、ボットネット化させたPCのIPアドレスを使って攻撃元サーバを隠す「Double Fast Flux」の手法を使用していたことも特徴の一つです。

3.RIG-EK 改ざんサイト無害化の取組(JC3)

情報窃取型マルウェアは、Webを介した攻撃手法と、メールを介した攻撃手法がありますが、前者については多くの日本国内の正規Webサイトが攻撃ツールRIG EKで改ざんされていたため、官民連携して(NECも協力)、無害化に取り組みました(注8)

拡大するJC3 RIG-EK改ざんサイト無害化の取組

おすすめコンテンツ

ページの先頭へ戻る