is702
ニュース

金融監督庁を騙る「KRBANKER」が国内拡散中

2016/08/18

トレンドマイクロは8月17日、公式ブログで「『金融監督庁』を偽装し国内8銀行のネットバンキングを狙う『KRBANKER』の新たな手口」と題する記事を公開しました。

それによると、「金融監督庁」を騙り情報詐取を狙う、新たなオンライン銀行詐欺ツール「KRBANKER」が、日本国内で拡散していることが確認されたとのことです。

もともと「KRBANKER」は、韓国の金融機関を標的にしていましたが、日本のネットバンキングにも攻撃対象を拡大、7月末からその活動が確認されていました。8月17日時点で、国内での検出台数は300件超となっています。

「KRBANKER」は、ローカルプロキシサーバとして動作し、利用者が特定ドメインにアクセスした際に、ブラウザに対し不正データ(不正なproxy.pac)を返答することで、偽サイトへと誘導し、情報の詐取を試みます。現在、8つの国内銀行・4つの検索エンジン・1つの社団法人、計13のドメインのどれかにアクセスした場合、「KRBANKER」経由の通信になることがわかっています。またプロキシサーバの設定には、中国のSNSに用意されたデータが使われることもわかっています。

さらに「KRBANKER」では、検索エンジンのドメインにアクセスした場合、「金融監督庁」を騙る不正なポップアップが表示されます。ポップアップには、金融犯罪を予防するために、銀行サイトにアクセスすることを推奨するメッセージが書かれていますが、実際には偽の銀行サイトへと誘導されます。検索エンジンのページ上にポップアップを表示し、利用者に(偽の)銀行サイトへのアクセスを促すことから、「KRBANKER」は“能動型のオンライン銀行詐欺ツール”だとトレンドマイクロは指摘しています。なお「金融監督庁」は、「金融庁」の旧名で現在はすでに存在しません。すでにない省庁名を使っているのが、意図的なものかサイバー犯罪者のミスかは不明です。

「KRBANKER」の拡散に関しては、国内改ざんサイトなどWeb経由が中心であったことが確認されています。そのため「不審なサイトへはアクセスしない」といった心掛けだけでは対処が難しいため、メールとWeb、両方の経路での侵入を検知する対策が重要でしょう。



検索サイトなどを閲覧中に表示される、金融監督庁を騙るポップアップの例

検索サイトなどを閲覧中に表示される、金融監督庁を騙るポップアップの例

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ