Kaspersky Labのエキスパートの調査によると、サイバー犯罪者は中小規模の企業に狙いを定め、特に経理担当者に注目しているようです。サイバー犯罪者は企業の財源に直接アクセスするルートを探し求めており、これはなかなか論理的な選択です。最近の傾向としては、トロイの木馬、特に「Buhtrap」と「RTM」を使った犯罪が増えています。BuhtrapとRTMは動作も拡散の方法も違いますが、目的は同じです。企業の口座から金銭を盗み出すことです。
どちらのマルウェアも、IT業界や法律関連の企業、そして製造業の小規模企業を特に狙いとしています。理由はおそらく、そうした会社では金融業界の企業に比べてセキュリティ予算が少ないことにあると考えられます。
RTM
RTMはフィッシングメールを通じて感染するのが一般的です。こういったメールはよくあるビジネスメールを装い、「返送依頼」「先月分の報告書の送付」「お支払いのお願い」といった意味の文言を使っています。メールに記載されたリンクをクリックしたり添付ファイルを開いたりすると、コンピューターがすぐに感染し、攻撃者は感染したシステムを完全に掌握できるようになります。
Kaspersky Labのシステムは2017年、当社製品の利用者2,376名に対するRTMの攻撃を記録しました。2018年には、13万件の攻撃が確認されました。そして2019年が始まってから2か月に満たないうちに、すでに3万以上の利用者がこのトロイの木馬に遭遇しています。この調子でいくと、昨年の記録を上回りそうです。現時点で、RTMはもっとも活発なバンキング型トロイの木馬の1つです。
RTMの標的の大半はロシア国内の企業です。しかし、当社のエキスパートは、RTMが国境を越え、やがてはロシア以外の国にも攻撃が及ぶようになると見ています。
Buhtrap
Buhtrapが最初に検知されたのは2014年でした。Buhtrapというのは当時、ロシアの金融系企業から金銭を盗み取っていたサイバー犯罪グループの名称で、被害額は少なく見積もっても1件あたり15万ドルに及んでいました。2016年にBuhtrapが使用するツールのソースコードが公開されると、そのトロイの木馬自体がBuhtrapという名前で呼ばれるようになりました。
Buhtrapは2017年の初めにTwoBeeによる大規模攻撃の中で再び姿を現し、主にマルウェア拡散の手段として利用されました。2018年3月には、複数の大手報道機関が攻撃に遭いました。ニュースサイトのメインページにスクリプトが埋め込まれ、ここからBuhtrapが拡散されたのです。当該Webサイトにアクセスすると、このスクリプトによりInternet Explorer内でエクスプロイトが実行されるようになっていました。
数か月後の7月、サイバー犯罪者は的を絞りました。標的となったのは、中小規模企業に勤務する経理担当者です。サイバー犯罪者は、経理担当者専用の情報を掲載したWebサイトまで作成しました。
このマルウェアは2018年終盤に再び活発な活動を見せ、現在も継続しています。当社の保護システムは、Buhtrapによる攻撃を合計5,000件以上阻止してきました。そのうち、2019年に入ってからの阻止件数は250件です。
前回と同様に、Buhtrapは報道機関のWebサイトに埋め込まれたエクスプロイトで拡散されています。感染の危険があるのは、例によってInternet Explorerを利用する人々です。感染したサイトからマルウェアをダウンロードするとき、Internet Explorerは暗号化されたプロトコルを使用します。そのため、分析が困難となり、セキュリティ製品によってはこのマルウェアを見逃してしまう場合があります。そして、2018年に発見された脆弱性がいまだに悪用されています。
Buhtrapの場合もRTMの場合も、攻撃者は感染したワークステーションに対するフルアクセス権を手に入れます。このため、サイバー犯罪者は、経理システムとバンキングシステムとの間でデータのやりとりに使用されるファイルを変更可能となります。そうしたファイルの名前がデフォルトのまま使われていて、追加の保護手段が何も取られていないと、攻撃者は自在に変更できてしまいます。損害額の算出は容易ではありませんが、当社の調査では、犯罪者らは取引1件あたり1万5,000ドルを超えない程度の資産を吸い上げているようです。
対策は?
このような脅威から事業を守るため、財務システムにアクセスできるコンピューター(経理担当者や経営陣のコンピューター)の保護には、特別な注意を払うことをお勧めします。それ以外のすべてのコンピューターにも保護が必要なのは、言うまでもありません。対策としては、以下を参考にしてください。
- すべてのソフトウェアのセキュリティパッチと更新プログラムを、できるだけ早くインストールする。
- 経理担当者のコンピューターでは、リモート管理ツールの使用を可能な限り禁止する。
- 承認されていないプログラムのインストールを禁止する。
- 財務にかかわる従業員のセキュリティへの全般的な意識を高めると同時に、フィッシング対策を強化する。
- 有効なふるまい分析技術を備える信頼性の高いセキュリティソリューションをインストールする。