Ursnif(アースニフ)|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. Ursnif(アースニフ)
             

Ursnif(アースニフ)

Ursnif(アースニフ)とは、特に銀行やオンライン決済の認証情報を狙うマルウェアで、トロイの木馬(トロージャン)の一種です。別名「Gozi」とも呼ばれ、金融機関のアカウント情報や機密データの窃取に特化した悪意あるソフトウェアで、多くの場合、フィッシングメールや悪意あるリンクを通じて感染が広がります。Ursnifは、感染したシステム上でユーザーのキーストローク(入力内容)を記録したり、ブラウザに入力されたフォームデータを盗んだりするなどして、金融関連の情報を窃取します。

Ursnifはもともと2000年代初頭に発見され、以降も改良を重ねられ、現在も新たなバージョンが見つかっています。金融機関のみならず、企業の機密情報や個人情報もターゲットとしているため、広範囲な被害をもたらす可能性があるマルウェアです。

Ursnifの特徴

Ursnifは以下のような特徴を持っており、特に個人や企業の機密情報を狙う攻撃に使われます。

  • キーロギング:ユーザーがキーボードで入力する情報を記録し、IDやパスワードを含む機密情報を収集します。
  • フォームグラビング:ブラウザのフォームに入力された情報(例:銀行のログインフォームなど)を直接盗む手法で、IDやパスワードなどを窃取します。
  • スクリーンキャプチャ:感染したデバイスの画面をキャプチャし、表示されている情報を外部へ送信することで、不正アクセスの手がかりを得ます。
  • ネットワークスキャニング:社内ネットワークに侵入し、他のデバイスや情報にアクセスする機会をうかがいます。
  • バージョンの多様化:Ursnifは進化し続け、アンチウイルス対策をすり抜ける技術や、特定の国や地域を狙うターゲット機能を持つことが多くあります。

Ursnifの感染経路

Ursnifは、一般的に以下のような方法でデバイスに感染します。

  1. フィッシングメール:信頼できる企業や金融機関を装ったメールに悪意あるリンクや添付ファイルが含まれており、ユーザーがリンクをクリックしたりファイルを開いたりすると、Ursnifがインストールされます。
  2. ドライブバイダウンロード:ユーザーが悪意のあるサイトを訪問した際、バックグラウンドで自動的にマルウェアがダウンロード・実行され、デバイスが感染します。
  3. 脆弱性の悪用:OSやアプリケーションの脆弱性を利用し、デバイスに侵入する手口です。定期的なソフトウェアのアップデートを行っていない場合、感染リスクが高まります。

Ursnifの影響

Ursnifに感染したデバイスやネットワークには、以下のようなリスクが発生します。

  • 個人情報・認証情報の漏洩:ログインIDやパスワード、クレジットカード情報などが窃取され、不正アクセスや金銭的被害の原因となります。
  • 金融機関のアカウント乗っ取り:銀行口座やオンライン決済のアカウントが乗っ取られ、預金の不正送金や決済の不正利用が発生します。
  • マルウェアの二次感染:感染した端末がネットワーク内の他のデバイスに拡散し、さらなるデバイスが被害に遭う可能性があります。

Ursnif対策方法

Ursnifに感染しないようにするためには、以下の対策が有効です。

  1. フィッシング対策の徹底:怪しいメールやリンクを開かないようにし、疑わしいファイルを安易にダウンロードしないことが重要です。
  2. セキュリティソフトの活用:セキュリティソフトをインストールし、最新バージョンに更新することで、Ursnifのようなトロイの木馬型マルウェアの検出率を高めます。
  3. ソフトウェアのアップデート:OSやブラウザ、アプリケーションの最新パッチを適用し、脆弱性を突かれないようにします。
  4. 多要素認証の設定:金融機関のログインなど、重要なアカウントには多要素認証を設定し、たとえパスワードが漏えいしても不正アクセスを防ぎます。

Ursnifの検出と除去

Ursnifに感染してしまった場合、以下の方法で検出および除去を試みます。

  1. セキュリティソフトでスキャン:まず、ウイルススキャンを実行し、Ursnifの感染ファイルや関連プロセスを検出・削除します。
  2. システムの復元:感染前の状態に戻すために、システムの復元ポイントを利用することも有効です。
  3. 専門家による対応:被害が甚大な場合や、重要なデータがある場合は、セキュリティ専門家に依頼し、感染の完全除去や再発防止を図ることも推奨されます。

まとめ

Ursnif(アースニフ)は、金融関連情報の窃取を主な目的としたトロイの木馬型マルウェアで、主にフィッシングメールやドライブバイダウンロードを通じて感染します。キーロギングやフォームグラビングなどの機能を持ち、感染したデバイスに深刻な情報漏洩リスクをもたらします。対策としては、フィッシングメールの警戒、セキュリティソフトの導入、ソフトウェアの更新、多要素認証の設定が有効です。感染してしまった場合は速やかにセキュリティソフトでスキャンし、感染源の除去を行い、必要に応じて専門家に相談することが推奨されます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。