金融関連の脅威は新型コロナウイルス感染拡大の状況下で一変し、バンキング型マルウェアの攻撃は全体的に減少した一方で、Androidデバイスへの攻撃地域は多様化し、広範囲に及びました。特に日本ではバンキング型マルウェア「Wroba」による攻撃が増大しました。Wrobaはサイバー攻撃活動「Roaming Mantis」で使用されます。
[本リリースは、2021年3月31日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyは、2020年の金融関連の脅威に関するレポート「Financial Cyberthreats in 2020」(英語)を公開しました。本資料はレポートの要点を抜粋したものです。
金融関連の脅威は、新型コロナウイルス感染拡大の状況下で一変しました。バンキング型マルウェアの攻撃は全体的に減少した一方で、Androidデバイスへの攻撃地域は多様化し、広範囲に及びました。特に日本ではAndroidデバイスを狙ったバンキング型マルウェアの攻撃が増大し、グローバル全体から見ても突出していたことが明らかになりました。
バンキング型マルウェアは、金銭の窃取に重点を置いているサイバー犯罪者の間で広く使われるマルウェアの一つです。サイバー犯罪者は一般的に、バンキング型マルウェアを使用してオンラインバンキングや電子決済システムのユーザー認証情報、ワンタイムパスワードなどのデータを窃取します。
2020年はWindows PCとAndroidデバイスに対するバンキング型マルウェアによる感染の試みは全体的に減少しましたが、顕著な事象として日本ではAndroidデバイスを狙ったバンキング型マルウェアの攻撃が増大しました。これは、2018年に当社が発表したサイバー攻撃活動「Roaming Mantis(ローミングマンティス)※1」によるものと見ています。Roaming Mantisの犯罪者たちは強い金銭的動機をもって活動しており、プラットフォームに応じてフィッシング、仮想通貨マイニング、Android向けマルウェアなどさまざまな手法を利用します。
■ カスペルスキー製品での観測※2 (2020年)
バンキング型マルウェア(Windows)
・バンキング型マルウェアによる感染の試みを、ユニークユーザーデバイス数で62万5,364件検知しました。2019年の77万3,943件と比べて約20%減少しました。
・バンキング型マルウェアの感染の試みに遭遇した企業ユーザーは全体の36%でした。これは2019年の35.1%とほぼ同じ、2018年の24.1%からは上昇しています。
・バンキング型マルウェアのファミリー上位4種による攻撃が、全体の攻撃の半数以上を占めました。Zbot(22.2%)、CliptoShuffler(15.3%)、Emotet(14.5%)、RTM(10.5%)
・バンキング型マルウェアによる感染の試みを多く受けたのは、ロシア(26.6%)、ドイツ(4.5%)、カザフスタン(4.1%)のユーザーデバイスでした。これは2019年度と同じ順位です。
バンキング型マルウェア(Android)
・Android向けバンキング型マルウェアの感染の試みに遭遇したユニークユーザーデバイス数は29万4,158で、2019年の67万5,772から56%減少しました。
・Android向けバンキング型マルウェアによる感染の試みを最も多く受けたのは日本(2.83%)で、2019年の19位(0.11%)から大きく増加しています。2位は台湾(0.87%)、3位はスペイン(0.77%)でした。2019年の順位は、ロシア(0.72%)、南アフリカ(0.66%)、オーストラリア(0.59%)でした。
図1:Android向けバンキング型マルウェアに遭遇した全ユーザーデバイスに占める割合(2020年)
・日本のAndroid向けバンキング型マルウェアに遭遇したユニークユーザーデバイス数は、2020年1月は685でしたが、2020年12月には2,553まで増大しました。
・Android向けバンキング型マルウェアのうち、日本で特に多かったのはWroba(0.79%)でした。WrobaはRoaming Mantisで使用されるマルウェアの一種で、グローバルではトップ10のランク外です。
図2:Android向けバンキング型マルウェアに遭遇したユニークユーザーデバイス数(2020年1月~12月、日本)
フィッシング
・全フィッシングに対する金融系フィッシングの割合は、37.2%でした。(2019年は51.4%)
・金融系フィッシングページへのアクセスは、オンラインバンキング関連が10.7%(同27.2%)、電子決済システム関連(PayPal、Visa、MasterCardなど主要決済ブランドの偽ページなど)が8.4%(同16.7%)と減少が顕著な一方で、オンラインショップ関連(オンラインストア、オークションサイト、AmazonやApple Storeなどの偽ページ)は18.1%(同7.6%)で2.4倍となりました。これは新型コロナウイルス感染拡大の状況下で、人々が自宅でオンラインショッピングやデジタルエンターテイメントを多く利用するようになり、サイバー犯罪者がその状況を悪用したことが関連していると見ています。
Kasperskyグローバル調査分析チームのマルウェアリサーチャー石丸傑(いしまる すぐる)は次のように述べています。「2020年は多くの国が新たなサイバー攻撃の対象となっていることを確認しました。その最も顕著な例が日本です。グローバル全体ではAndroid向けバンキング型マルウェアによる攻撃は減少しているにもかかわらず、日本はWrobaの相次ぐ攻撃を受けています。WrobaはRoaming Mantisで使用されるマルウェアの一種です。感染した端末の情報窃取を行うだけでなく、ボットネット化しSMSを使用したフィッシング詐欺であるスミッシングの送信元として攻撃者に悪用される機能を持ったマルウェアの検体も確認しています。金銭的な被害だけでなく、知らずに攻撃に加担しないためにも、セキュリティ製品を用いたデバイスの保護を強くお勧めします」
金融関連サービスの脅威に関する詳細レポートは、Securelistブログ「Financial Cyberthreats in 2020」(英語)をご覧ください。
金融系マルウェアからご自身を守るために、次のような対策をお勧めします:
・アプリは公式ストアなど、信頼できるソースからのみインストールする
・アプリから要求される権限が、プログラムの機能に見合っているかどうか確認する
・信頼性の高いセキュリティ製品を使用して、さまざまな金融系のサイバー脅威から保護する
・既存のソフトウェアはアップデートおよびパッチをインストールし、常に最新の状態を保つ
※1 Roaming Mantis:2017年から続いているサイバー犯罪活動です。犯罪者たちは強い金銭的動機をもって活動しており、プラットフォームに応じてフィッシング、仮想通貨マイニング、Androidマルウェアなどさまざまな手法を利用します。この犯罪グループは、ルーターのDNS設定乗っ取りとスミッシング(SMSを使用したフィッシング)を悪用して、国内の物流企業を装った悪意あるランディングページへ人々を誘導していました。この犯罪活動で拡散されたAndroidマルウェアファミリーは、主に「Trojan-Banker.AndroidOS.Wroba」です。
※2 上記統計情報はすべて、Kaspersky Security Network(以下KSN)で取得されたものです。KSNは、世界各地の数百万人の任意のカスペルスキー製品ユーザーから取得したサイバーセキュリティ関連のデータを高度に処理する、クラウドベースの複合インフラストラクチャーです。KSNは取得したデータをクラウド上で自動分析することで、すべてのユーザーとパートナーに対して、新しい未知のサイバー脅威に対する最短の応答時間と最高レベルのプロテクションを実現します。すべての情報は、ユーザーの同意を得て取得されています。