バンキング利用者の情報を盗む巧妙な「ファーミング」が発覚
金融機関の偽サイトにユーザーを誘導セキュリティ・ソフト会社の米国ウェブセンスは2月22日、オンライン・バンキング利用者を標的にした詐欺行為が、少なくとも3日間にわたって続いたことを明らかにした。「ファーミング」と呼ばれるこの攻撃は、米国や欧州、アジア太平洋地域の50の金融機関を舞台に行われたが、被害者の数は不明だという。
ウェブセンスのシニア・セキュリティ・リサーチャー、ヘンリー・ゴンザレス氏は、今回の詐欺行為の特徴を、金融機関ごとに本物そっくりの偽サイトを構築するという入念な方法を用いたことだと説明する。
昨年、Windowsの深刻な脆弱性を攻撃するコードの存在(MS06-014)が明らかになったが、ウェブセンスによると、今回標的となったのは、この脆弱性の修正パッチを適用していないユーザーだという。同コードに感染したPCで、該当する金融機関のWebサイトにアクセスすると、偽サイトに導かれ、口座番号などの個人情報を盗まれることになる。
その手口は次のとおりだ。まず、未パッチのPCが、同コードが仕組まれたWebサイトにアクセスすると、トロイの木馬を含んだ「iexplorer.exe」という名称のファイルが自動的にダウンロードされる。このファイルは、5つの追加ファイルをロシアのサーバからダウンロードするよう設定されている。
この間、同サイトはエラー・メッセージを表示し、ファイアウォールとアンチウイルス・ソフトを一時的に停止するようユーザーに促す。
こうして悪意あるコードに感染したPCが、金融機関のWebサイトにアクセスすると、そのサイトを模した偽サイトにリダイレクトされる。偽サイトは、ユーザーの認証情報を収集してロシアのサーバに転送する。その後、ユーザーを正規のサイトに戻し、情報漏洩の発覚を防ぐという仕組みだ。
このテクニックはファーミングと呼ばれている。ファーミングもフィッシングと同様、正規サイトにそっくりな偽サイトを構築してユーザーをだまし、個人情報を盗み出すものだ。だが、スパム・メール内のリンクをユーザーにクリックさせて偽サイトにおびき寄せるフィッシングに対し、ファーミングではユーザーがWebブラウザのURLフォームに正規アドレスを入力した場合でも偽サイトに導かれる。
今回のファーミング詐欺について、ゴンザレス氏は「非常に手間がかかっており、しかも巧妙だ。よく出来ている」とコメントしている。
悪質なコードが仕組まれたWebサイトは、ドイツとエストニア、英国に存在した。これらのサイトは、金融機関の偽サイトとともに、22日の朝の時点でISPによって閉鎖されている。
このファーミング攻撃は、少なくとも3日間にわたって仕掛けられたことが確認されている。しかし、被害者の人数は現時点では不明だ。「口座から預金を引き出されたのが何人なのか、われわれは報告を受けていない。だが、たとえそうした被害を受けたとしても、人々は公表したがらない」(ゴンザレス氏)
また、今回の攻撃では、感染したPCを遠隔制御する「ボット・プログラム」がPCにインストールされるようになっていたという。ウェブセンスの研究者らは、リバース・エンジニアリングなどを用いて、ボット・コントローラのスクリーン・ショットを入手した。
このボット・コントローラには感染統計も示されている。ウェブセンスによると、主に米国とオーストラリアで、少なくとも1日に1,000台のPCが感染したという。
(ジェレミー・カーク/IDG News Service ロンドン支局)
