is702
ニュース

ネットバンキングを狙う新ウイルス「WERDLOD」

2015/04/13

トレンドマイクロは4月10日、公式ブログにて「日本を標的とする新たなオンライン銀行詐欺ツール『WERDLOD』の手口を解説」と題する記事を公開しました。

国内のネットバンキングを標的とするウイルス、別名オンライン銀行詐欺ツールには、「ZBOT」「AIBATOOK」「VAWTRAK」などがありますが、昨年末ごろより「WERDLOD」(別名TROJ_ARTIEF、TROJ_VB)が登場。今年に入っても、一定数が検出されています。

「WERDLOD」は、大手通販サービスの請求書を偽装した文書形式ファイルで、メールに添付して送られてきます。たとえばメールの件名は「2015/02/10日付ご注文№95183244」、文書ファイルの文言は「画像をダブルクリックして領収証をお受け取りください」などとなっており、日本語で記載されています。ファイル内のアイコンをクリックすると、「WERDLOD」に感染。2つの設定変更を行い、認証情報を窃取します。

1つ目は、インターネット接続時に攻撃者が用意した不正サーバを経由するよう、不正なproxy.pacファイルを読み込む設定。この設定により国内の大手金融機関4行、地銀10行など複数のネットバンキング関連ドメインを含む26のJPドメイン(日本向けのサイト)へのアクセス時、意図せず攻撃者の用意した不正サーバに転送され、アクセス時の入力情報を盗まれてしまうことになります。

2つ目は、1の変更により不正サーバを経由させた際、本来ブラウザが出すエラーを発生させないよう「不正なルート証明書」を裏でインストールするという設定変更。結果、ブラウザで「SSLサーバ証明書の検証エラー」が発生しなくなるため、ユーザは異常に気づかなくなります。

この2つの設定変更により「WERDLOD」は、httpsでアクセスするSSL/TLSによる暗号化通信をしていても、「中間者攻撃」を可能にし、ネットバンキングの認証情報を盗むのです。

トレンドマイクロでは、防御策として、メールの添付ファイルを安易に実行しないこと、ふだんから、アドレスバーが緑になること(httpsではじまる暗号化通信で、EV証明書が使われているかどうか)に気を配っておき、エラーは出なくとも、ふだん緑色のアドレスバーがそうなっていないときは異常を疑うことをあげています。

  • あんしんプラスシリーズ
  • 標的型メール訓練サービス メル訓クラウド
  • IT資産管理・情報漏えい対策ツール LanScope Cat for Cloud
あんしんプラスシリーズ
標的型メール訓練サービス メル訓クラウド
IT資産管理・情報漏えい対策ツール LanScope Cat for Cloud