ネットバンクウイルスの仕組み? Man in the Browser MITB Webinject


アメリカのセキュリティ会社マカフィー(McAfee)の金融詐欺レポート「Operation High Roller」より部分引用。。。



(1) フィッシング詐欺のEメールが、特定の金融機関に口座を持つ個人または企業に送られる。


(2) Eメールには偽のリンクが含まれており、ユーザーがこのリンクをクリックすると、不正なWebページに誘導され、悪質なシーケンスが開始される。



  • ページには「Blackhole Exploit Kit」や同様のフレームワークが含まれており、このキットが被害者のブラウザーに適当な脆弱性を検出して、エクスプロイトスクリプトをロードする。

  • エクスプロイトスクリプトが「Downloader Trojan」をインストールする。

  • そのあと「Downloader Trojan」が被害者のマシンに「SpyEye」または「Zeus」をインストールする。

  • 被害者がオンラインバンキングにログインすると、 マルウェアがユーザーの口座の種類や残高といったパラメーターをチェックする。

(3) クライアントのパラメーターがマルウェアの基準に合致すると、トロイの木馬の「SpyEye」「Zeus」から詐欺師のコマンド&コントロールサーバーに連絡が行き、銀行の適切なWebインジェクションを引き出す。そして、このWebインジェクションには、JavaScriptのペイロードが搭載されている。


(4) 詐欺のプロセスは、口座所有者であるユーザーが感染したコンピューターから正規の合法的な口座にログインしようとするのをきっかけにして開始される。


ユーザーには標準的な本物の銀行のポータルが見えているが、実際にはユーザーの利用する銀行から必要な情報を入手するためのカスタムメイドのJavaScript Webインジェクションが表示されている。


レポートでは、メール経由でURLリンクを踏ませてドライブバイ・ダウンロード攻撃し強制感染という流れになってます。


ただ、SpyEye(スパイアイ)やZeus(ゼウス)といったウイルスの感染経路として、第三者にハッキングされウイルスサイトに変貌してしまってる普通の一般サイトやブログでドライブバイ・ダウンロード攻撃となる形もあります。



  • Man in the Browser (MITB) ... 代表的なウイルス名として「SpyEye」「Zeus」に実装してる機能の1つで、ブラウザを乗っ取って正規のネットバンキング・ネットバンクに不正な処理を割りこませる攻撃

  • Webインジェクション / WebInject ... 正規ページのHTMLソースに不正なコードを挿入して、偽のポップアップ画面を表示するようにしたり、本物の入力欄を隠して偽の入力欄を用意するような書き換えを行う

検索してみると、だいぶ前から海外のお話として紹介されてる攻撃ということだけど、日本では今まで大して日の目を見ず・・・



  • 正規銀行サイトで入力した個人情報を奪う「Man in the Browser」攻撃 (Internet Watch、2007年)
    http://internet.watch.impress.co.jp/cda/news/2007/11/21/17598.html

  • RSAが明かす、口座振込を横取りするMITBの恐怖 (ASCII.jp、2009年)
    http://ascii.jp/elem/000/000/463/463965/

ドライブバイ・ダウンロード攻撃の影響を受ける?
下の4条件のうち1つでも当てはまったWindowsパソコンが影響を受けます。



  1. Java(JRE) を旧バージョンのまま放置し最新版にアップデートしてない

  2. Adobe Reader を旧バージョンのまま放置し最新版にアップデートしてない

  3. Adobe Flash Player を旧バージョンのまま放置し最新版にアップデートしてない

  4. Windows Update してない

ウイルス対策ソフトをインストールしてるのにウイルス感染する原因
Javaの旧バージョンはウイルス感染経路で第1位の危険ソフト