震災に乗じたフィッシング詐欺が今後さらに増加の恐れ

　EMCジャパンのRSA事業本部は3月30日、東日本大震災に乗じたサイバー犯罪などについて、いくつかの懸念があることを明らかにし、注意喚起を行った。

　同社によれば、すでに日本赤十字社をかたる義援金詐欺サイトが出現するといった動きがみられているという。同サイトは、3月18日にフィッシングサイト対策協議会に報告済みだ。

EMCジャパン、RSA事業本部マーケティング部シニア・マーケティングプログラム・マネージャーの水村明博氏

　EMCジャパン、RSA事業本部マーケティング部の水村明博氏は、「先日のニュージーランドの災害の際にも、フィッシングサイトが生まれている。利用者は十分注意することが必要だ」と注意をうながす。

　また、不審なドメイン取得が急増しており、今後、これらがフィッシングサイトへ悪用されることが懸念されるといった傾向があるという。水村氏によると、「japan、donate、aid、tsunamiなどの単語を組み合わせた新規ドメインの取得が急増しており、これらの中にはフィッシングサイトに悪用されるものもあると思われる」という。

　さらに海外では、Googleにおいて、日本の震災に関する情報の検索結果に、フィッシングサイトが含まれるケースも報告されているそうだ。

　「これは日本のユーザーを狙うというよりも、日本の震災情報を検索する海外のインターネットユーザーをターゲットにしたもの。偽のセキュリティ対策ソフトを売りつけるサイトへ誘導するものが報告されている。Googleで検索した結果でも、完全に安心できるものではないということを知ってもらいたい」（水村氏）

　対策については、極めて基本的なものだが「不用意にメールのリンクをクリックしない」「むやみに個人情報を入力しない」「信頼できるサイトから募金する」ことに留意すべきだという。

ボットと化したPCを完全に遠隔操作

　一方、水村氏は、オンライン詐欺の手法がますます巧妙化、複雑化するなかで、注目されている動向としてクライムウェア作成ツールキット「SpyEye」の開発者による「VNC（Virtual Network Computing）」プラグインの開発について説明した。

　VNCは、手元のコンピュータから遠隔地のコンピュータを閲覧したり、操作するために用いるソフトウェア。もともとITサービスのテクニカルサポートなどで一般的に使われていたものだ。しかし、2010年10月のZeusとSpyEyeの統合後に、SpyEyeの開発者が、ネットバンキングに関して、「トロイの木馬に追加する危険な機能に新たに対応する」と発表した。新たなトロイの木馬によって、被害者のデスクトップを完全に操作できるようになるという。

　水村氏によれば「もともとSpyEyeとVNCは結びつかないものであったが、開発者による発表以降、トロイの木馬にVNCの機能を搭載する動きがアンダーグラウンドで出てきている」という。

　RSAでは、SpyEyeのバイナリサンプルを入手して調査した。その結果、「すでにVNCによる接続能力が備わっていた」とする。新たなボットネットコントロールパネルを調べたところ、感染先のPCをコントロールするためにVNCをオンにするサーバサイドコマンドが組み込まれていたという。

　仕組みとしては、ボットPCからオンラインバンクへのアクセスを確認すると、自動的にメッセンジャーを使って犯罪者に通知する。その後、VNCを使って、被害者のPCに接続し、手動で送金先や送金額を変更したり、盗んだ信用情報を使用して新たな不正送金を企図するという。「詳細に調査、分析したところ、まだ、VNC対応は未完成の状態だとみられるが、現実の存在になりつつあるのは事実であり、注意することが必要だ」（水村氏）という。

　なお、RSA AFCC（Anti-Fraud Command Center）の調べによると、フィッシング攻撃数は年々増加傾向にあり、2010年における攻撃数は過去最高の20万3985件に達したという。また、最新となる2011年2月のデータでは、フィッシングサイト数が1万8079件に達しているとする。