TrickBot(トリックボット)と呼ばれるマルウェアが2016年ごろから猛威を振るっています。セキュリティ業界では、このマルウェアは企業や政府をターゲットとしたものの中で最も危険なものに分類されています。
最近では、さらに危険な機能を備えつつあり、ますます注意が呼びかけられています。今回はTrickBotの概要について詳しくご紹介します。
この記事の目次
TrickBotとは
TrickBotとはパソコンに感染して情報窃取を行うタイプのマルウェアです。Dyre(Dyreza)と呼ばれる銀行情報を盗むために設計されたマルウェアが前身とされています。
2016年から感染が報告されており、通常は不正なスパムメールや広告を経由してパソコンに感染します。不正なスパムメールの内容は、有名なウェブサービスやECサイトに成りすましたものや、人事宛てのメールを装って偽の履歴書を添付してくるものなど様々です。
それらの不正なメールに含まれている添付ファイルの多くは、マイクロソフト社のWordやExcelファイルであり、その中にマルウェアのコードが忍ばせてあります。その添付ファイルをクリックすると、ユーザーのパソコンに感染し、電子メールのパスワードやアドレス帳の中身を盗んで、感染したパソコンから有害なメールを大量に送信することが確認されています。
TrickBotの特徴
TrickBotの特徴としてモジュール方式を採用している点があげられます。ベースとしてパソコンに感染済みのTrickBotがあり、そこにモジュールを追加することで、様々な攻撃が可能になってしまいます。
現在、判明しているモジュールとして以下のものがあります。
- 販売時点情報管理(POS)システムを攻撃する
- リモートデスクトップアプリの認証情報を盗む
- オンラインアカウントのパスワードやクッキー、閲覧履歴などの窃取
- 感染したパソコンのログイン情報の窃取
- 銀行アカウントのログイン情報や機密情報の窃取
TrickBotは現在進行形で進化を続けており、ここで紹介したもの以外にも多数の悪意のある機能が備わっています。
TrickBotの被害事例
TrickBotの被害実例2件について紹介します。
Lloyds Bankを偽装しTrickBotを拡散
TrickBotによって7万5000通以上のメールが25分間で送信されたことがCyrenのセキュリティ研究者により発見されました。送信されたメールはイギリスの大手銀行であるLloyds Bankが送信したように偽装されていました。
送信されたメールの件名は「Incoming BACs」となっていました。BACSとはあるメールアカウントから別のメールアカウントに直接送金できる機能を提供するシステムのことです。送信されたメールの中にはExcelの添付ファイルが含まれており、中身を確認するように促されています。
このExcelファイルを実行すると、マクロを有効するように促されます。このマクロを有効にしてしまうと、TrickBotがパソコンにインストールされてしまいます。
このTrickBotに感染したパソコンがオンラインバンクにアクセスすると、TrickBotが偽のWebサイトへとリダイレクトさせます。この偽のWebサイトはLloydsの正しいURLと正規のSSL証明書を提示するので、ユーザーが騙されていることを認識するのは困難です。そして攻撃者は被害者のオンライン銀行の認証情報やセキュリティコードを盗みます。
偽のWebサイトは正規のものとそっくりですが、被害者が受信したメールアドレスの送信元は「lloydsbacs.co.uk」となっており、正規のメールアドレスである「lloydsbank.co.uk」とは異なっています。またメールのほとんどはオランダのIPアドレスから送信されているようです。
累計2億5000万件のメールアカウントへ被害
TrickBotの進化版であるTrickBoosterに感染すると、組織内のパソコンを乗っ取り、他のパソコンにもTrickBotをメールで送信します。
Deep Instinctの調査によると、世界で2億5000万件ものメールアカウントがTrickBotに乗っ取られていることが判明しました。そのメールアカウントにはGmail、Yahoo、Hotmailなどのアカウントだけでなく、アメリカ、イギリス、カナダなどの政府部門のメールアカウントも含まれており、TrickBoosterによって認証情報が収集されていたとされています。
進化版「Trickbooster」について
「TrickBooster(トリックブースター)」とはTrickBotに最近追加された新しい機能のことです
TrickBoosterはTrickBotのコンポーネントとして感染します。感染したパソコンの電子メールアカウントから有害な電子メールを送信し、送信フォルダと送信済みフォルダの両方から送信済みの電子メールを削除する機能を有しており、検出が困難な点が特徴です。
このTrickBooterコンポーネントは偽造された証明書に署名することで、検出を回避しています。研究者は米国時間で6月25日に初めてTrickBoosterを認識し、その1週間後には証明書を無効化しています。そのため現在ではTrickBoosterの活動は困難であるとされています。
TrickBotの注意点・危険性
TrickBotの注意点として以下の2つを紹介します。
攻撃手法が増えていく(進化している)
IBM社のエグゼクティブセキュリティアドバイザーのLimor Kessem氏によると、TrickBotは今後数か月中に銀行などの金融機関を標的としたマルウェアの上位に入ると予測しています。TrickBotはオンラインバンク詐欺ツールである「DRIDEX」と同等の脅威となり、年内にはTrickBotの攻撃回数はDRIDEXを上回る可能性もあると見ています。
また他のマルウェアと同様にTrickBoxにも亜種が存在することが確認されています。
例えば新しい亜種である「TrojanSpy.Win32.TRICKBOT.TIGOCDC」は難読化されたJavaScriptファイルを自動作成し、感染したパソコンで実行中のプロセスをチェックします。このJavaScriptは情報窃取機能だけでなく、外付けディスクやネットワークディスク内に存在する特定の拡張子のファイルを削除し、自身のコピーに置き換える機能を持ちます。
またTrickboosterの例のように、TrickBotはモジュール化されているため、攻撃者が新しいコンポーネントを追加することで、新機能を使った別の攻撃手法を増やすことも可能です。
マルウェア対策ソフトウェアの検出を回避できる
TrickBotのコンポーネントは、偽造された証明書に署名することで、マルウェア対策ソフトウェアからの検出を回避しています。それらの証明書の多くは、暖房や配管会社のように、署名を必要としない実在する事業者の名前で発行されているものです。特にTrickBoosterはTrickBotへ追加された強力な機能であるとされており、ほとんどのマルウェア対策ソフトウェアによる検出を回避し、バックグラウンドで動作する能力を有しています。
TrickBotへの有効な対策
TrickBotへ有効な対策として次の3つを紹介します。
ネットワークから切り離す
TrickBotに感染したと判明したら、すぐにそのパソコンをネットワークから切り離しましょう。具合的にはパソコンの無線LANを無効にし、物理的なLANケーブルで接続されている場合は、そのLANケーブルをパソコンから切り離します。
ウイルス対策ソフトで駆除
TrickBotに感染したら、まずはウイルス対策ソフトで駆除を試みましょう。他のマルウェアでも同様ですが、TrickBotはモジュールの仕組みを取り入れていることから、様々な形で進化しているマルウェアです。そのため日頃からウイルス対策ソフトの定義ファイルを最新の状態にしておくことがTrickBotを検出するために重要です。
企業においてはインターネットにつながっているパソコンだけでなく、社内ネットワーク全てのパソコンにおいてもウイルス対策ソフトを導入しておく必要があります。インターネットから感染したTrickBotが社内ネットワークを通じて、企業内の別のパソコンへと感染することもあるからです。
OSの再インストール
TrickBotに感染してしまって、さらにウイルス対策ソフトを使っても駆除できなかった場合は、最後の手段としてパソコンのOSを再インストールする必要があります。OSの再インストールは手間や時間がかかりますが、パソコンの中身を丸ごとクリーンにしてくれるため、マルウェアの駆除対策として高い効果が得られます。
OSの再インストールが完了したら、使用しているアプリケーションのインストールだけでなく、ウイルス対策ソフトのインストールも忘れずにしておきましょう。
まとめ
TrickBotは現在でも進化を続けており、これからもさらに高度化し感染の発見を困難にすると予測されています。特に銀行は個人情報と財務情報ともに大量のデータを保有していることから、攻撃者にとって格好のターゲットです。
強力なマルウェアであるTrickBotですが、他のマルウェアと同様に不審なメールや添付ファイルに対する適切な対応で感染を防ぐことができます。まずは日ごろからTrickBotを含めたマルウェアの正しい情報を入手し、怪しいメールを受信した時に安易に添付ファイルをクリックしないなどの対応が重要と言えるでしょう。