全米で流行ったFBI Ransomware：マネーパックを使った送金詐欺について

全米でFBIの名を語ったサイバー犯罪が、2012年7月頃に横行しました。

FBI Ransomware（ランサムウェア）は、FBIの名前を語って被害者を脅しお金を要求するマルウェアで、全米のネットサーファーが被害を受けています。被害者は突然、自分のパソコンがフリーズしたと気づきます。その後、公式ページ風のWebサイト、例えば以下のようなWebサイトが、Webブラウザに出てきます。

FBIとインターネット被害者相談窓口には、この手口に関する質問の電話が殺到しているので、FBIなどは先週、注意喚起を促しました。

このWebサイトに関して、以下の3点に注意して下さい。

1. FBIからのメッセージではない

2. ページの指示に、決して従ってはいけない

3. ページを開いた時点で、Revetonと呼ばれるマルウェアに感染している可能性がある

■ Ransomwareの感染をチェックする方法

この種のマルウェアは、どうやって感染してきたのでしょうか？

感染経路の1つについては、後で説明しますが、このブログの第一の目的は、可能な限り多くの方が、マルウェアの危機から身を守れるようにするところにあります。

とにかく、以下のチェックが全てです。

アンチウイルスのソフトをきちんと使っているか、さらにはそのソフトが最新の状態に更新されているかをチェックすれば、ウイルスの脅威から身を守れるのです。

FBIになりすますこの手口はニュースにもなっていますが、使われているReveton自体は、別に新しいマルウェアではありません。新たしい手口でもないのです。

ですが、犯人たちはこの犯罪を行なうために、ファイルを定期的にいじってくるので、あなたのアンチウイルスソフトも、定期的にアップデートする必要があります。（アップデートしないと）新しい形のウイルスを特定してくれないからです。（例えば、ESETで紹介したようなアンチイルスソフトなら、品種改良されたウイルスを特定し、ブロックしてくれます。しかし、最新の状態にバージョンアップをして、最大の防御力を確保しなければなりません）


■ Ransomwareの犯罪手口の流れ

犯罪者たちがどのようにして犯罪を行なうのかを理解するために、我々は今回の犯罪手口に関するチャートを作りました。（覚えておいて下さい。このチャートは、物事を単純化しています。時には詐欺を働くために、さらなる複雑なステップを実行してくる場合があります）

ある犯人1（BAD GUY 1）が、善良な一般人のAさん（GOOD GUY A）をだまそうとしています。

犯人1は、犯人2にソフトの開発をお願いします。このソフトを使って、犯人1はいくつかのマルウェアを作ります。このマルウェアは、被害者のコンピューターに感染し、お金を請求する画面を表示します。

犯人1は次に、犯人3にお金を払って、マルウェアのテストと改良を依頼し、アンチウイルスソフトの網の目を突破する力を高めてもらいます。今度は4番目の実行犯をお金で雇います。秘密裏にマルウェアを、何の罪もないWebサイトに仕込ませるためです。このチャートで言えば、一般人BさんのWebサイトです。

一般人Aさんが、一般人BさんのWebサイトを見ようと、何も知らずにクリックすると、仕掛けられていたマルウェアが一瞬で一般人Aさんのコンピューターに感染し、お金を請求する画面が表示されます。

一般人Aさんのような被害者がお金を送って、フリーズを解除しようとすれば、犯人1は成功です。自分の投資と儲けを回収できてしまいます。


■ サイバー犯罪者が利用する送金方法

では、一般人Aさんのような被害者は、どうやってお金を送るのでしょうか？

一概には言えませんが、ヨーロッパで行なわれている似たような詐欺は、UkashやPaysafeのようなシステムを利用してきました。

今回のケースでは、グリーンドットとしても知られている、マネーパックを利用しています。その送金システムは、あなたの地域にあるウォルグリーン、ウォルマート、ライトエイドでも目にしてきたはずです。

この手の詐欺に狙われた被害者について、人口統計学的な見地から、何かしらの推察を行なおうとは思いませんが、マネーパックは、銀行口座を持っていない人に対してリリースされているサービスです。（連邦預金保険公社の調査によると、2千万人ほどのアメリカ人が、銀行以外の送金方法を利用しているとされています）

詐欺のページの一部に表示されている支払い欄を見れば分かるように、犯人に対してお金を送る作業は、簡単です。お金を入れたマネーパックカードの裏側に書いてあるコードを、入力するだけです。



■ サイバー犯罪者の収入

この手の陰謀が、どのくらいのお金を、犯人たちにもたらしているのでしょうか？

我々の良き友だちである、セキュリティーに関する専門家、ブライアン・クレブスは「その手の犯罪者たちは、1日に5万ドルくらいのお金を荒稼ぎをしていてもおかしくないそうなのです。」と言っています。

よく考えて下さい。これらのお金は、銀行や被害者が、振り込み経路をたどって取り戻せるような、銀行経由の送金ではありません。この一件でとばっちりを受けたマネーパックは、自社のWebサイトで、司法省を巻き込んではっきりと公表しています。犯人たちが大胆不敵にもページを書き換えて、Webサイトを食い物にしている、とです。


■ Ransomwareの感染ルート

では、一体どのように感染してしまうのでしょうか？

我々が確認してきた方法の1つは、犯人がマルウェアを、完全に普通のWebサイトに組み込んでしまうやり方です。例えば、新聞社のページや、ブログです。

ネットサーフィンをしながら、何気なくそのようなWebサイトを訪れるだけで、感染してしまうのです。この手の攻撃は、ドライブバイと呼ばれています。

色々な手段でいじくったWebサイトに一般読者を誘導するように工夫しつつ、完全に罪のない人を無作為にえじきにしてもいるのです。マルウェアをばらまくために利用されたWebサイトの数は、現在、数千に及びます。

今後、良いブラウザはこのような感染したサイトを回避できるように、工夫してくれるでしょう。また、アンチウイルスプログラムを提供してくれるかもしれません。

言うまでもなく、FBIはこの手の犯罪の背後にいる人々を捕まえようと、やっきになっています。無駄に組織の名前を悪用し、色々な人から、迷惑な電話をごまんと掛けさせているからです。

もちろん、この手の詐欺がヨーロッパの国々で被害を拡大させていると言う、嫌なニュースはあります。ですが、見通しは明るいと言えます。各国にまたがって存在する、「標的」にもなった、たくさんの法的な強制機関が、国際的に協力をして取締を強化するはずだからです。


出典：blog.eset.com