「VAWTRAK」は2013年8月、出荷通知を装ったEメールの添付ファイルの事例として初めて感染が確認されました。確認された添付ファイルは、実際は不正なファイルを含んだZIPファイルであり、トレンドマイクロでは「BKDR_VAWTRAK.A」として検出対応し、この不正なファイルは、FTPおよびメールクライアントから情報を収集する不正プログラムとしても知られていました。2013年8月に初めて感染が確認された当時の亜種は、複数のWindowsのEメールクライアントから個人情報を収集していましたが、つい最近確認された「VAWTRAK」の新しい亜種は、自身の機能を進化させ、より広範囲で情報収集活動を行います。新たな機能として、オンライン銀行の認証情報やクレジットカードの情報の窃取など、オンライン銀行詐欺ツールの不正活動が追加されていました。

「VAWTRAK」ファミリとは何ですか。

「VAWTRAK」はオンライン銀行の個人情報を狙う不正プログラムのファミリ名です。2013年8月に初めてその情報収集活動が確認され、最近の亜種は、オンライン銀行の認証情報を窃取することで知られており、その不正活動は特に日本において顕著です。

「VAWTRAK」が「Noteworthy(要注意)」に分類される理由は何ですか。

「要注意」に分類される理由は、この不正プログラムの情報窃取機能が、発見当初の比較的シンプルなものから、日本の特定の金融機関から銀行情報を窃取するものへと著しく進化したためです。自身の駆除を困難にさせる動作を備えている点も「要注意」に分類される理由にあげられます。感染したPC上で特定のレジストリ値を追加することで、セキュリティ製品に関連するファイルの実行を制限します。また、感染したPC上で(トレンドマイクロ製品を含む)さまざまなセキュリティ製品の有無を確認し、存在が確認されたセキュリティ製品に対して権限を制限し、そのセキュリティ機能を無効にします。

このように情報窃取機能は向上したものの、動作自体は、特に革新的といえる程ではありません。FTPの認証情報を窃取する点では「FAREIT」の動作と似ています。また、Webインジェクションのためのコードや監視するWebサイトのリストなどが記載された環境設定ファイルを備えている点では「ZBOT」とも似ています。なお、「要注意」に分類されるもう1つの主な理由は、日本を拠点とする4つの大手銀行と5つのクレジットカード会社を標的にしていたことです。感染したPCのユーザが、環境設定ファイル内に記載されたWebサイトを閲覧しようとすると、「Angler Exploit Kit」というエクスプロイトツールキットに誘導されます。このツールキットは、さまざまな「Adobe Flash」や「Java」の脆弱性を悪用して「VAWTRAK」のインストールに用いられます。

「VAWTRAK」は、どのくらい広範囲に日本で拡散していますか。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のデータによると、上記の円グラフが示すとおり、「VAWTRAK」の感染数の大部分は日本で占められており、第2位の米国や第3位のドイツを大きく引き離しています。こうした日本の銀行を狙うオンライン詐欺ツールの増加は、「TSPY_AIBATOOK」のような銀行関連情報の窃取機能を新たに追加した情報窃取型不正プログラムが増えてきていることから理解できます。

「VAWTRAK」の亜種の中で特に注意すべき不正プログラムは何ですか。

「VAWTRAK」の亜種の中で注意すべき不正プログラムに、「BKDR_VAWTRAK.PHY」・「BKDR_VAWTRAK.SM」・「BKDR_VAWTRAK.SMN」の3つがあります。これらの亜種の共通した不正活動は、「Program File」および「Application Data」のフォルダ内に特定のセキュリティソフト関連のディレクトリが存在するか確認する点です。感染したPC内で存在の有無が確認されるセキュリティソフトは、以下のとおりです。

  • a-squared Anti-Malware (現在は Emsisoft Anti-Malware) 
  • a-squared HiJackFree (現在は Emsisoft Anti-Malware) 
  • Agnitum 
  • Alwil Software 
  • AnVir Task Manager 
  • ArcaBit 
  • AVAST Software 
  • AVG 
  • Avira 
  • BitDefender 
  • BlockPost 
  • Doctor Web 
  • DefenseWall 
  • ESET 
  • f-secure 
  • FRISK Software 
  • G DATA
  • K7 Computing 
  • Kaspersky Lab 
  • Lavasoft 
  • Malwarebytes 
  • McAfee 
  • Microsoft Security Essentials 
  • Norton AntiVirus 
  • Online Solutions 
  • pTools 
  • Panda Security 
  • Positive Technologies 
  • Sandboxie 
  • Security Task Manager 
  • Spyware Terminator 
  • Sunbelt Software 
  • Trend Micro 
  • UAenter 
  • Vba32 
  • Xore 
  • Zillya Antivirus

上述のセキュリティ製品のいずれかがインストールされていることが確認されると、これら3つの亜種は、以下のようなレジストリ値を作成します。これにより、確認されたセキュリティ製品は、制限されたユーザ権限下での実行を余儀なくされます。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\
CodeIdentifiers\0\Paths\<特定のセキュリティソフト向けに生成されたGUID>
ItemData = "<特定のセキュリティのパス>"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\ 
CodeIdentifiers\0\Paths\<特定のセキュリティソフト向けに生成されたGUID> 
SaferFlags = "0"

「VAWTRAK」の主要な不正活動は何ですか。

「VAWTRAK」の主な不正活動は、バックドア活動で特にキー操作情報の窃取やスクリーンショットの取得等のコマンドを実行することです。また、FTPの認証情報や、PC内に保存されたEメールの認証情報、さらにインターネットブラウザからの情報も窃取します。さらにまた、銀行やクレジットカードの情報が含まれたデータの追跡も行います。

どのようにしてPCへの感染を知ることができますか。

ユーザは、「Program Data」フォルダ内に以下の2つのファイルのいずれかが存在しているかどうかで感染の有無を確認することができます。拡張子「DAT」ファイルは、実際は自動実行されるレジストリ内に存在する拡張子「DLL」ファイルです。

  • <ランダムなファイル名>.dat
  • <All Users Profile>\Application Data

「VAWTRAK」が感染しているもう1つの兆候は、セキュリティソフト関連のプロセスをユーザが実行できなくなることです。「VAWTRAK」は、ポリシーに関連するレジストリ値を追加するため、これにより、セキュリティソフト関連のフォルダ内でのファイルの実行を制限されます。

「VAWTRAK」の一般的な感染フローはどのようなものですか。

以下の感染フローは、「VAWTRAK」がどのようにPCに侵入するのかを示したものです。このように、不正なWebサイトまたは改ざんされたWebサイトからの"Java.exe"を介してPCに侵入します。拡張子「DAT」のファイルは、実際には拡張子「DLL」のファイルであり、最終的な不正活動を行います。このファイルが、不正プログラム「VAWTRAK」と呼ばれるものです。

"Java.exe"ファイルを介して侵入する「VAWTRAK」の感染フロー

以下の図は、「VAWTRAK」のPCへの侵入方法を示したもう1つの感染フローです。この場合、Flash関連の拡張子「OCX」のファイルを用いて、最終的な不正活動を実行する拡張子「DAT」のファイルまで誘導されます。拡張子「DAT」のファイルは、実際には拡張子「DLL」のファイルで、このファイルが不正プログラム「VAWTRAK」と呼ばれるものです。

"Flash11e.ocx"ファイルを介して侵入する「VAWTRAK」の感染フロー

「VAWTRAK」から身を守るためには、ユーザは何をすればよいでしょうか。

「Java」や「Adobe Flash」や「Adobe Reader」のようなブラウザのプラグインは、必要でない限り、無効化もしくはアンインストールすることを推奨します。上記の感染フローで示された攻撃は、特定のソフトウェアから発生していたり、特定のソフトウェアに関連していたりすることから、ご使用のソフトウェアへ修正パッチを適用し、ご使用のPCも最新の状態を保つことは、感染リスクを最小限にする上でも有効です。サイバー犯罪者は、こうした未修正の脆弱性やシステム上の不具合などのセキュリティホールを利用して攻撃を仕掛けるからです。

さらにユーザは、オンライン銀行を利用をする際も、Eメールを介さず、細心の注意を払って正規サイトのみを閲覧することです。これにより、Eメールやスパムメッセージに組み込まれた不正なリンクを誤ってクリックするリスクを避けることができます。

トレンドマイクロの製品は、この脅威からユーザを保護しますか。

トレンドマイクロの製品はこの脅威からユーザを保護します。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、「ファイルレピュテーション」技術により、「VAWTRAK」の亜種を検出し、削除します。さらに、「Web レピュテーション」技術により、「VAWTRAK」の亜種が接続するドメインへのアクセスをブロックします。

解析の現場より:専門家の見解

最近の感染事例から確認された「VAWTRAK」は、新たに巧妙化した動作を伴っており、提供すべき駆除方法も複雑化してきています。このため、引き続き「VAWTRAK」を注視していく必要があります。今後さらに「VAWTRAK」が巧妙化していくのは明らかであり、最近の亜種では、銀行やクレジットカード会社のサイトを監視する情報を含む環境設定ファイルなどを備えています。また、侵入方法も、以前は単純にスパムメールを介したものでしたが、最近は、Javaの脆弱性を介して侵入することが確認されています。
- スレット・レスポンス・エンジニア Jimelle Monteser

「VAWTRAK」がもたらす脅威は、究極的には、オンライン銀行を利用するすべてのユーザにとっての脅威ともいえます。オンライン銀行の利用は、いまや個人ユーザから大企業まで広く普及しています。こうした中、「VAWTRAK」は、まさしく全ての人々への深刻な脅威といえるでしょう。
- スレットレスポンス エンジニア Rhena Inocencio