一般財団法人日本サイバー犯罪対策センター JC3:Japan Cybercrime Control Center


マルウェア情報

 当法人の会員の皆様から寄せられた情報の中から、インターネットバンキングの不正送金等に使用されたマルウェア情報を公開します。

Ramnit

名称 Ramnit
内容  本マルウェアは、インターネットバンキングマルウェアとして知られており、WEBサイトの認証情報を窃取するためのWEBインジェクション機能を保持しています。
 2018年3月現在、日本国内では主にクレジットカード情報の窃取を目的としていることを確認しており、本マルウェアの感染端末から意図せずクレジットカード情報が窃取される可能性があります。
 なお、2017年6月頃よりWEB改ざんサイトを介した感染活動が行われ、現在も多くの感染端末を確認しており、引き続き注意が必要です。

Mirai

名称 Mirai
内容  本マルウェアはIoTデバイス(インターネットに接続された各種センサーや防犯カメラ等)をターゲットとして感染するマルウェアです。インターネットに接続された多数の本マルウェアの感染端末はボットネットを構築し、DDoS(Distributed Denial of Service attack)攻撃の基盤として悪用されます。
 以前には本マルウェアに感染したボットネットにより、実際に大規模なDDoS攻撃が行われ、大きな被害が確認されました。
 その後、2016年10月にMiraiのソースコードがインターネット上に公開され、その後はソースコードの一部を流用したMiraiの亜種が複数作成されており、 注意が必要です。

DreamBot

名称 DreamBot
内容  本マルウェアはインターネットバンキングマルウェアGoziの機能を引き継いだ、不正送金を目的としたマルウェアです。
 Goziと同様、金融機関のオンラインバンキング用認証情報を窃取するためのWEBインジェクション機能や、打鍵情報など感染端末上の様々な情報を収集する機能を保持しています。
 また、攻撃者の用意したC2(コマンド&コントロール)サーバとの通信にTor(The Onion Router)を使用し、接続経路を匿名化する機能が追加されたことが報告されています。
 警察庁では、2017年1月に本マルウェアを悪用した不正送金事犯が発生したことを確認しており、注意が必要です。

KRBANKER

名称 KRBANKER / Blackmoon
内容  本マルウェアは、ブラウザのプロキシサーバ設定を変更し、標的とする金融機関が提供するオンラインバンキングサイトへのアクセスを、攻撃者が用意する偽サイト(フィッシングサイト)へ誘導します。
 また、標的とする検索サイト等を表示した際にも、偽の警告画面を表示し、偽サイトへの誘導を促します。
 誘導後、本物のサイトに似せて作成された偽サイトにて、オンラインバンキングに関する認証情報を入力すると、認証情報が攻撃者に窃取されます。
 なお、偽サイトを表示した際にはSSLサーバ証明書が使用されず、通信にはHTTPが使用されます。ただし、ブラウザ上のアドレスバーには正しいURLが表示されます。
 会員企業からの情報により、国内において7月末よりKRBANKERの脅威が確認されております。
 警察庁では、2016年8月に本ウイルスを悪用した不正送金事犯が発生したことを確認しており、引き続き注意が必要です。
関連情報

Gozi

名称 Gozi / Ursnif / Snifula / Papras
内容  本マルウェアはWEBインジェクション機能を保持しており、ユーザによるWEBの利用を監視することで、標的とする金融機関のオンラインバンキング用認証情報や、クレジットカード情報を窃取します。ユーザは窃取された情報を犯罪者に悪用され、意図せず金銭を窃取される可能性があります。
 また、本マルウェアはキーロガー(キーボード操作による打鍵情報の収集)機能を保持しており、感染端末上のその他重要な情報も窃取される恐れがあります。
 国内において、2016年3月より請求書の送付などの業務連絡を装う不審なメールや、改ざんされたWEBサイトを悪用する手口による本マルウェアの拡散が確認されています。
 警察庁では、2016年6月に本ウイルスを悪用した不正送金事犯が発生したことを確認しており、注意が必要です。
関連情報

URLZone

名称 URLZone / Shiotob / Bebloh
内容  本マルウェアは、WEBインジェクションにより、標的とする金融機関におけるオンラインバンキング用の認証情報を窃取します。ユーザは窃取された認証情報を犯罪者に悪用され、意図せず金銭を窃取される可能性があります。
 また感染調査を困難にするため、起動時にマルウェア本体を削除する機能を保持しているとの情報があります。
 国内において、2015年末よりスパムメールによる本マルウェアの拡散が確認されています。
 警察庁では、2016年3月に不正送金被害に遭った端末が本ウイルスに感染していたことを確認しています。メールを悪用した本マルウェアの拡散は2016年も続いており、引き続きの注意が必要です。
関連情報

Rovnix

名称 Rovnix
内容  本マルウェアはWEBインジェクション機能を保持しており、標的とする金融機関のオンラインバンキングの認証情報を窃取します。
 また、標的とする金融機関のオンラインバンキング利用時には、画面上の注意喚起を削除する機能により、ユーザーが認証情報入力の操作を思い止まることを阻害する狙いが伺えます。その他追加のプラグイン機能により、onionドメインとの通信が可能となるなど、後から機能が追加される恐れがあります。
 国内において、2015年12月より配送連絡を装う不審なメールによる本マルウェアの拡散が確認されています。
 警察庁では、2015年11月に本ウイルスを悪用した不正送金事犯が発生したことを確認しており、引き続き注意が必要です。
関連情報