“マルウェア「Shifu」の出現で日本の銀行14行が標的となる:IBM”という記事がSC Magazineに掲載されています。

SCMagazine記事

米IBMのセキュリティ研究部門X-Force(以下、X-Force)は、銀行を標的にした新手のマルウェアを「Shifu」と命名、出所はおそらくロシア発祥の可能性があるとしており、そのShifuが現在日本の銀行14行や他の金融機関を標的としていることを明らかにしました。
Shifuの名称は、泥棒を意味する英単語「thief」の日本語発音に関連付けてX-Forceが名づけたとし、Shifuは2015年4月ごろから活動を活発化している、とX-Forceは報告しています。

X-Forceは火曜日の電子メールでSC Magazine.com宛てに、
「Shifuは今のところ日本の銀行14行とオーストリア、ドイツを含む欧州全域で使用されている電子バンキングのプラットフォームに限定し、標的としている。現時点では、Shifuの激しい攻撃が検知されているのは日本だけだが、新手のマルウェアというのは新しい地域を標的にするため機能を進化させてくる、そういった傾向を我々はこれまでもたびたび確認してきた」と書いています。

このマルウェアは、shiz・Gozi・Zeus・Dridexのコードを使用し、新・旧のテクノロジーを組み合わせて構成されており、アンチウイルス防護機能さえも実装していて、他のマルウェアを排除し、攻撃に関与する集団だけが、確実に利益を独り占めできるようにしています。

現時点での標的は日本国内だけですが、X-Forceでは、このマルウェアの創作者が他の場所にも攻撃を拡大するつもりであることを確証しています。

Shifuによって、銀行アカウントが乗っ取られたり、ペイメントカード情報が狙われる恐れがあります。

X-Forceの報告書では 「このマルウェアは、被害者が認証目的として使用する異なる種類の認証から、種々さまざまな情報を盗み出す。例えば、キーログハッキングでパスワードを盗んだり、オンラインバンキングアプリに使われる個人証明書や認証トークン等を盗んだりする機能を備えている」と述べています。

加えてこのShifuは、旧世代のマルウェアをベースとしたさまざまな防衛機能を備えています。例えば、Shifuが持つシステムの復元を完全消去する機能などは、Conflickerワームと似た動作をするものです。

他にも、Shifuは、他のマルウェアを妨害しようとし、独自のアンチウイルス対策を駆使して、不正機能を持っているファイルのインストールを阻止しようとします。それはあたかもライオンが自ら獲得した獲物を守るかのように、 Shifuは他のマルウェアのインストールを阻止し、さらにもう1歩踏み込んで他のマルウエアを追跡し、他の攻撃者が何をしているのかを解析するのです。

X-Forceはスクリプトにロシア語のコメントがあることからロシアか、旧ソビエト連邦発祥の可能性があるとしていますが、Shifuの創作者が真の出所を隠そうとして偽装行為をしている可能性も無視できないとしています。

2015-09-11T09:49:54+09:002015.09.11|Categories: セキュリティウォッチ|