海外における個人情報流出事件とその対応 第166回 今年もお騒がせ、ストームワーム (1)大規模攻撃を続けるストームワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.04.21(土)

海外における個人情報流出事件とその対応 第166回 今年もお騒がせ、ストームワーム (1)大規模攻撃を続けるストームワーム

国際 海外情報

2007年、世界で猛威をふるい、すっかりおなじみになった悪名高いストームワームだが、今年に入っても、早速このワームが世間を騒がせている。

これは、1月8日にF-Secureが研究員のブログサイト、ウェブログの中で、フィッシング詐欺によって、ストームワームのボットネットを貸し出しているようだと発表しているものだ。F-Secureが発見したのは、ドメイン名、i-halifax.comを用いていて、英国の金融機関のHalifaxグループだと偽ったフィッシング詐欺だ。ロゴやデザインなど、そっくりなリンクへと誘導して、メール受信者にオンラインバンキング用のユーザ名とパスワードを入力させようとする。

i-halifax.comのサーバは、「fast flux」サイトで、変化を続けて追跡が困難な上、サイトのIPアドレスは秒単位で変わっている。また、ボットネット内でポスティングされていたそうだ。見つかったIPアドレスから1つを抽出してさらに調べると、hellosanta2008.comやpostcards-2008.comといったストームワームらしいものが現れた。このことから、F-Secureでは、Halifaxのフィッシング詐欺メールはストームに感染したボットから送信されているようだと考えている。

また、同じ1月8日、トレンドマイクロ社のマルウェアのブログで、同様にRoyal Bank of Scotlandと偽ったフィッシングメールが、ストームワームによるボットネットから送信されていると報告している。Royal Bank of Scotlandも英国の金融機関で、偽サイトへ受信者をアクセスさせて、ユーザ名やパスワードを盗もうとする。

送信元はやはりfast fluxのボットネットだ。トレンドマイクロでは悪名高いRBN(Russian Business Network)との関連を示唆している。

RBNは、ロシアのセントペテルスベルグに本拠を置く、インターネットサービスのプロバイダで、児童ポルノやフィッシング詐欺、マルウェアの拡散など、不法行為を行っているとされている。いわばロシアのサイバー犯罪者の集団で、昨年話題になったウェブ攻撃ツールMpackや、不正なiFrameタグ挿入との関係など、世界規模で問題となったネットセキュリティ事件や現象の…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×