ネット銀狙いのDreamBotが急増

平成29年12月12日付の日経SYSTEMSサイトが報道していました。警察庁が11日付でDreamBotが急増しており、7〜9月までは月20件程度だったのが、10月以降は70件程度に増えていると注意喚起しています。DreamBotを感染させるメールが大量に送信されており、アップルや楽天カード、三菱UFJ信託などの名が騙られています。金銭的被害はまだ判明していませんが、感染した人達はセキュリティ対策ソフトを導入していないか、更新していない人が多いそうで、警察庁は、不審な添付ファイルを開封しないことと、セキュリティ対策ソフトの適切な運用を呼びかけています。

ここ、2ヶ月ほど、筆者のところにも、頻繁に楽天やMU信託名のメールが届きます。McAfeeを使用しているのですが、Spam注意がついたり、つかなかったりで、犯罪者はIPアドレスを変えたりしているようですが、接続経路を匿名化するTor(The Onion Router)を使っているので、セキュリティ会社も追いかけるのが間に合わないようです。WebインジェクションなどでID・パスワード等を窃取します。遠隔操作機能もあって、不正送金が可能となります。トレンドマイクロなどは昨年12月にDreamBotの活動を把握し、それが銀行詐欺ツールGozi(別名URSNIF)の進化版だということも公表していました。2月だけで20万通以上が送信されていたそうです。それが、10月以降、急増しています。

意外なのが、感染者の多くがネット銀利用者だということです。筆者などは、楽天などからメールを受け取っても、取引していないのに何故?とまず怪しみますが、ネット銀利用者は、楽天などの会員が多いので、いつものメールという感覚なのかもしれません。2タイプあるそうで、一つは、銀行や信金などの共同システム・サイトのみを狙っているとか。もう一つは、銀行などに信販サイトも詐取対象にしているそうです。セキュリティ会社では、今回の攻撃が単純にID・PW狙いではなく、また、ボット狙いに留まらず、感染を拡大しておいて、次に大規模な金銭狙いの攻撃を狙っているのではないかとの見方があります。当然、警察やセキュリティ会社は、DreamBotの分析を通じて、次の攻撃への対策を検討しているでしょうが。

この攻撃犯は、北朝鮮のハッカー集団ではないかと考える人が多い。昨年、バングラディシュ中央銀行から8100万ドルを窃取したとされる「ラザルス」と同じハッキング部隊かどうかは判りませんが、ラザルスは今年、150カ国で企業や病院などにランサム攻撃を仕掛けるなど、金銭目当てのサイバー犯行を繰り返しています。国連の制裁により資金源が縮小する北朝鮮が、サイバー部隊を使って新たな資金源を開拓しようとしていると思われています。つまり、銀行を狙い、次に企業を脅し、次いで個人の預金を狙っているというのです。

同国のハッカー集団は、8月頃から韓国のATMをハッキングしていると報道されています。チョンホ社製のATMが狙われて、更新サーバーのバイナリファイルに悪性コードを挿入して遠隔操作するということです。日本でも数社が被害を受けているとのことです。(公表されていませんが。)15日には韓国情報院が国内仮想通貨取引所2カ所が攻撃を受け、76億ウォンを奪われたと発表しました。その1社であるユービットは16日に破産申請を発表しました。別の取引所では3万人以上の会員情報を盗み、削除する見返りに60億ウォン相当のビットサムを要求してきたそうです。まさに、やり放題ですが、国家情報院も軍のサイバー部隊も前政権時代の不法行為容疑で捜査を受けている最中で全く機能していないとのことです。

従来の攻撃ではセキュリティ会社が対応できて、早い段階でフィルタリングしたり、メールにアラームがつけたりするのですが、今回は一向に収まる様子がありません。セキュリティ会社よりも犯罪者の方が、技術力が高いということか?やはり、攻撃する方が圧倒的に有利ということか?それとも、セキュリティ会社が販売促進に、わざと泳がせているのか?今回ばかりは、自分が感染したり、預金を窃取された場合に、どうすべきか考えておくべきだと思うような状況です。

以前から、セキュリティの大穴と見なされていた大学が軒並み、メールサーバーをハッキングされています。この一カ月でも、名の知られた大学が立て続けにメールサーバーを乗っ取られています。大学名で大量のスパムメールが発信されています。学生も教諭陣も、アクセスする場所やデバイスが複数である上に、セキュリティの意識が薄い。IT関係の予算が少ないですから、セキュリティ対策も思うように施せません。どの大学も頭を抱えています。Quixという端末認証のセキュリティ・ソフトがあります。ベーステクノロジーという国内IT企業の製品です。端末認証のトークンを秘密分散技術で秘匿化します。原理は簡単なので価格が安い。秘密分散技術は、いまのところ日本ユニークですので、海外のハッカー集団には破れないというのが魅力です。(NTTがISO標準化してしまいました。残念というべきか、国際社会への貢献というべきか)

言いたいことは、なんでもかんでもグローバル・スタンダードというのは、危なくて仕方ないということです。さりとて、Windowsを使わないという選択はビジネス・ユースでは難しい。ですから、国際標準環境を採用するとしても、そこに日本独自の技術でセキュリティを確保するという考え方があると思います。金融機関は、とかく有名なツールを使いたがる。万が一の時に、言い訳できるからでしょうか?ベンダーが小さな会社だと、経営陣から「その会社が潰れたら、どうするのだ?」というワンパターンの質問も出るでしょう。典型的な回答は「別のベンダーを用意しておきます。」でしょうが、筆者なら、「潰れたらただで使えるから儲けでしょう。」か「良いツールなので、他の会社が必ず買収して、その事業を続けますよ。」と追加するでしょう。セキュリティもベンダー丸投げは駄目で、自社でユニークな技術を選び出すスキルが必要です。

                      (平成29年12月18日 島田 直貴)