トレンドマイクロは4月10日、これまで日本を標的とするネットバンキングを狙う詐欺ツールとして確認されている「ZBOT」「AIBATOOK」「VAWTRAK」に加え、新たな脅威として「WERDLOD」が台頭しつつあるとして、その手口を公式ブログで解説している。

「WERDLOD」は2014年12月にも同社のブログでその存在に触れたが、2015年に入ってからも継続して検出しており、一過性の存在ではないという。同社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」の統計では、2015年1月~3月の期間に日本国内で約400件を検出している。

この詐欺ツールは、感染時に2つの設定変更を行うことによってネットバンキングで使用する認証情報の窃取を実現しており、感染した後は不正プログラムの起動や常駐を必要としない。設定変更の1つ目は、攻撃者が用意した不正なプロキシサーバを経由させること、2つ目は不正なルート証明書をインストールして「Man-In-The-Middle(MitM、中間者)攻撃」を行う際にSSLサーバ証明書の検証エラーを出させないことだ。これはトレンドマイクロが過去に、海外で確認された手口として触れたもので、「日本にも上陸したと考えられる」としている。

「WERDLOD」の攻撃シナリオ

感染させる手法としては、大手通販サービスの請求書に偽装したメールで、添付したRTFファイルに画像のアイコンをダブルクリックするよう書かれており、これをダブルクリックすると「WERDLOD」に感染する。メールの件名やRTFファイルの文言は日本語で記載されており、明確に日本のユーザを狙ったものと言える。

スパムメールを起点とする「WERDLOD」の感染経路

感染すると、レジストリ(AutoConfigURL値)が変更され、ネットへ接続する際に不正なファイルに記載されている設定が適用される。攻撃者は、このようにして不正なプロキシサーバを経由させることで、ユーザがネットバンキングのURLへアクセスした際の入力情報を自在に読み取れるようになる。

これらにより、ユーザは異常に気がつかずにID・パスワードなどの認証情報を入力してしまい、それらを攻撃者に窃取されることとなる。だが、適切なサイトかどうか判断できる「EV SSL証明書」が有効にならないため、ブラウザのアドレスバーが緑色にならない。そのためトレンドマイクロでは、対策として

  • メールの添付ファイルを安易に実行しない

  • 普段からアドレスバーが緑かどうか確認する

点を挙げている。事業者側の防御策としては、ワンタイムパスワードなどの2要素認証や、クライアント証明書を使用したSSLクライアント認証を行うよう呼びかけている。

感染した場合は、不正プログラム本体を削除するだけでなく、「Windows と Firefox のプロキシ自動構成(proxy.pac)の設定を削除するか、感染前の状態に戻すこと」と「『WERDLOD』によってインストールされることが解っている、『A134D31B 881A6C20 02308473 325950EE 928B34CD』の拇印を持つ不正なルート証明書を、WindowsとFirefoxの『信頼済みルート証明書ストア』から削除すること」を両方行う必要がある。