クレジットカード情報を盗み出す新型マルウェアLUSYPOS

POS システムを攻撃し、クレジットカード情報を
盗み出す新型マルウェア LUSYPOS
Monthly AFCC NEWS：2014 年 12 月号（Vol.89）
フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の一
途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA FraudAction」は、フィッシングサイトを検知すると監
視を開始し、ホスティング事業者と協力してフィッシングサイトを閉鎖します。FraudAction の中核である AFCC
（Anti-Fraud Command Center：不正対策指令センター）では、200 名以上のフロード・アナリストが 24 時間 365
日体制で数カ国語を駆使し、対策に従事しています。AFCC NEWS は、フィッシングやオンライン犯罪関連ニュース
からトピックを厳選し統計情報と共に AFCC がまとめたものです。（2014 年 12 月 24 日発行）
今月のトピック
今月は、『LusyPOS～POS を狙う新たなマルウェア～』と題して、POS システムに格納されたクレジットカード
情報を丸ごと盗み出す新型のマルウェアについて紹介する。
今月の統計
11 月のフィッシング攻撃件数は、61,278 件と、10 月の 34,787 件から 76%増加した。これは、前年同月と比
べても約 45%増にあたる攻撃量である。この結果、今年も一ヶ月を残して年間累計数で昨年の総計を突破、新
記録が作られた (「フィッシング攻撃数（月次推移）」参照)。「フィッシング攻撃を受けたブランド数（月次推移）」は
200 件(9 月から 13%減った 10 月の数字から、さらに 8%減)だった。5 回を超える攻撃を受けた比率は、10 月か
ら 7 ポイントも増加しており、特定ブランドに対する集中攻撃の度合いが増した。「フィッシング攻撃を受けた回数
（国別シェア）」では米国がこの 2 ヶ月で 22 ポイントも増加しており、攻撃の激しかった年初の水準にますます近
づいてきている。

今月の特集：「LusyPOS～POS を狙う新たなマルウェア～」
 はじめに
最近あるマルウェアベンダーが地下街で売り込んでいるマルウェア LusyPOS は、POS システムを攻撃し、磁
気クレジットカード情報をごっそり盗み出すタイプの新型マルウェアである。
その触れ込みは、以下のようなものだ。
 クレジットカードの磁気ストライプの“トラック 1/トラック 2”データを狙う
 Windows ベースの POS システム上で動作する
 TOR ネットワークに対応した、TOR HTTP 管理者パネル
1
 クレジットカード番号の有効性検証機能
 複数ユーザー対応
 2 種類のパッケージ
LusyPOS には、初心者向けとプロ(dump grabber 型マルウェア経験者)向けの 2 種類の仕様がある。
プロ向け仕様
初心者向け仕様
 再ビルドは無料・自由
 初期セットアップの完全サポート
 Jabber チャットによるサポートは無制限
 管理者パネルとアプリケーションはすべての機能が利用
 バイナリーライセンス
できるよう設定済み…すぐに実行可能
標的の端末 1 台あたり$2,000
 すべての手順をカバーする入門チュートリアルを用意
実行犯の端末 1 台あたり$2,200
 ヒントや追加知識の共有
 POS 端末のハッキング用ツールをオプションで提供
表-1: LusyPOS の 2 種類のパッケージ
 アプリケーションのアクティベーション(有効化)と解凍
RSA が今回解析した LusyPOS は、暗号化された上で実行形式に圧縮されており、そのファイルサイズは
3934.0KB とかなり大きい。
1.
アクティベーションを行うと、アプリケーションがデスクトップ上に解凍され、以下のファイルが作られる。
 zlib1.dll – データ圧縮アプリケーションライブラリ
 mbambservice.exe – マルウェア対策アプリケーションを装っているが実態は TOR.exe
 libcurl - クライアント側の URL 転送ライブラリ
 verifone32.exe – POS システムファイルを装った LusyPOS アプリケーション
2.
MUTEX prowin32Mutex を生成し、Internet Explorer(IE)のプロセスにコードを感染させる。
3.
実態は TOR アプリケーションである mbamservice.exe が起動され、TOR 通信を始める。
カテゴリー
詳細
名称
LusyPOS
供給元
Virus Total
MD5
bc7bf2584e3b039155265642268c94c7
サイズ
3934.0 KB
ファイルタイプ
Win32 EXE
タイムスタンプ
2014/10/01
表-2: 解析対象とした LusyPOS のサンプル
図-1: LusyPOS を売り込む投稿
2
 プロセス
IE のプロセスに感染し、その後、感染したプロセスが新たな IE のプロセスを起動する。
8:50:32.4722497 AM bc7bf2584e3b039155265642268c94c7.EXE
2824
Process Create C:¥Program Files¥Internet Explorer¥iexplore.exe SUCCESS
PID: 2828, Command line: "C:¥Program Files¥¥Internet Explorer¥¥iexplore.exe"
……
8:50:35.1508129 AM iexplore.exe
2828
Process Create C:¥Program Files¥Internet Explorer¥iexplore.exe SUCCESS
PID: 2924, Command line: "C:¥Program Files¥¥Internet Explorer¥¥iexplore.exe"
この点において、RSA はこのアプリケーションの 2 つの特異な振る舞いを確認している。
 このアプリケーションが再起動後は存続しない
 Windows の自動実行レジストリキー内には定義されていない
 通信
LusyPOS のパッケージは、TOR.exe アプリケーションを標準装備しており、IP アドレスもしくは Onion URL の
形式で現されるアドレスとの通信を企図する。TOR 通信のほとんどは暗号化されているが、ホスト名とディレクト
リ名の一部は暗号化されていなかった。
https://kcdjqxk4jjwzjopq.onion/d/gw.php
https://ydoapqgxeqmvsugz.onion/d/gw.php
RSA の確認によれば、前者はまだアクティブだったが、そのディレクトリ内のファイルにアクセスできず、後者
はすでにオフラインとなっていた。
 ファイルの作成
ほとんどすべてのコンピュータ･ハードウェアと OS に対応する zlib1.dll という無料のロスレスデータ圧縮ライブ
ラリが生成される。
8:50:32.1866933 AM bc7bf2584e3b039155265642268c94c7.EXE
WriteFile
2824
C:¥Documents and Settings¥Bozo¥Desktop¥zlib1.dll SUCCESS
Offset: 0, Length: 107,520
TOR.exe ファイルのコピーが生成され、mbamservice.exe というマルウェア対策アプリケーションに偽装され
る。このアプリケーションが、ファイルの暗号化と TOR 通信を担う。
8:50:32.1923397
AM
bc7bf2584e3b039155265642268c94c7.EXE
2824
WriteFile
C:¥Documents and Settings¥Bozo¥Desktop¥mbambservice.exe SUCCESS Offset: 0,
Length: 3,612,686
複数の通信プロトコルに対応した libcurl.dll という名のクライアント側の URL 転送ライブラリ(フリーウェア)が生
成される。
3
8:50:32.4229270
AM
bc7bf2584e3b039155265642268c94c7.EXE
2824
WriteFile
C:¥Documents and Settings¥Bozo¥Desktop¥libcurl.dll SUCCESS Offset: 0, Length: 270,336
LusyPOS のアプリケーションファイルが生成され、POS のシステムファイル verifone32.exe に偽装される。
8:50:34.4374736
AM
iexplore.exe
2828
WriteFile
C:¥Documents
and
Settings¥Bozo¥Application Data¥VeriFone32¥verifone32.exe SUCCESS Offset: 0, Length:
65,536
 ファイルの再配置
ひとたび LusyPOS アプリケーションが解凍を終え、活動を始めると、システムのデスクトップにファイルのコ
ピーが追加される。それらのファイルは、システムのより深い部分にコピーされた後、すべて削除される。アプリ
ケーションの活動している様子は、以下のプロセス解析ログに見られる。
8:50:34.5210604 AM
iexplore.exe
SetDispositionInformationFile
C:¥Documents
Settings¥Bozo¥Desktop¥libcurl.dll
Delete: True 8:50:34.5271139 AM
WriteFile
2828
and
SUCCESS
iexplore.exe
2828
C:¥Documents and Settings¥Bozo¥Application Data¥VeriFone32¥zlib1.dll
SUCCESS
Offset: 0, Length: 65,536
8:50:34.5304426 AM
iexplore.exe
SetDispositionInformationFile
2828
C:¥Documents
Settings¥Bozo¥Desktop¥zlib1.dll
and
SUCCESS
Delete: True
8:50:34.5496685 AM
WriteFile
iexplore.exe
C:¥Documents
2828
and
Settings¥Bozo¥Application
Data¥VeriFone32¥mbambservice.exe
 レジストリの書き換え
アプリケーションのインストール活動を秘匿するために、Windows インストールファイルの警告メッセージを無
効化するようにレジストリが書き換えられる。EXE、BAT、REG、VBS といった拡張子を持つファイルが関わるす
べての活動は無視され、ポップアップメッセージなどは表示されなくなる。
 まとめ
LusyPOS は、一般消費者向け PC ではなく、Windows ベースの業務用端末を狙ったマルウェアである。こうし
た端末はセキュリティソフトが導入されていないどころか、ソフトウェア更新の対象になっていないケースも珍しく
ない。そのため、ひとたびマルウェアの感染を許してしまうと、その防御は極めて脆弱であり、反面、被害規模は
大きくなる。当然のことながら、十分な注意と対策が求められる。
今回、RSA が解析したサンプルは、Windows プラットフォーム上の Internet Explorer のプロセスとの組み合
わせでのみ動作するとみられる。マルウェアとサーバーの間の通信が、TOR ネットワーク上で排他的に実行され
4
ている。こうした情報から導き出される対策は、以下の通りである。
1. TOR 通信が使うポートをすべて確実に閉鎖する
2. システム内の Internet Explorer のすべてのプロセスを少なくとも監視、できれば無効化する。
3. POS システムを非 Windows プラットフォームのものに移行する

今月の統計レポート

フィッシング攻撃数（月次推移）
2014 年 11 月、AFCC が検知した単月のフィッシング攻撃件数は 61,278 件と、10 月の 34,787 件から 76%
増加した。これは、前年同月比 45％増にあたると同時に、昨年 10 月の過去最高記録 62,105 件に次ぐ高水準に
あたる。この結果、攻撃件数の累計は一ヶ月を残して昨年の総計を 4 千件以上、上回った。
フィッシング攻撃件数の急増は、米国でブラックフライデーを挟んで様々なショッピングイベント（グレー･サーズ
デー、スモールビジネス･サタデー、サイバー･マンデー）を迎えたことによると思われる。市場調査によると、今年
のブラック･フライデーにおける実店舗の来店者数は 12.5%減少し、オンライン販売の売上が 26%増加したとい
う。このことは、フィッシング攻撃の潜在被害者がますます増える可能性を示唆している。これからは欧州の
ショッピングシーズンが始まることから、欧州での攻撃増加が見込まれる。
70,000
60,000
61,278
50,000
52,557
40,000
30,000
55,813
42,537
42,364 36,875
20,000
42,571
38,992
36,883
33,145
34,787
29,034
24,794
10,000
0
11月 12月
1月
2月
3月
4月
5月
6月
5
7月
8月
9月
10月 11月

フィッシング攻撃を受けたブランド数（月次推移）
11 月にフィッシング攻撃を受けたブランドは 200 件と、10 月の 217 件から約 8%減少した。5 回を超える攻撃
を受けたブランド数は 117 件(全体比 59%)と、10 月から 8 ポイント増加した。「総攻撃回数が増えた月は、攻撃
を受けたブランド数が減り、手ひどく集中攻撃を受けたブランドの比率が上がる」という典型的傾向が、今月は顕
著に表れた。
攻撃を受けたブランド数
月間5回を超える攻撃を受けたブランド数
400
350
344
328
336
333
319
294
287
300
283
239
250
260
249
217
200
200
150
187
177
170
100
148
171
145
151
142
120
118
6月
7月
134
111
117
50
0
11月 12月 1月

2月
3月
4月
5月
8月
9月 10月 11月
フィッシング攻撃を受けた回数（国別シェア）
11 月も米国の首位は変わらず。これで、わずか
その他81ヵ
中国コロンビア
国
1%
1%
3%
オランダ
イタリア
2%
1%
南アフリカ
インド
3%
2%
2 ヶ月の間に 22 ポイントも比率を高めたことになる。
米国への集中攻撃が再開したといえよう。
ランクインした国の数は、8 ヶ月連続で 5 ヵ国と少
ない状態が続いたが、11 月はその数が 9 ヵ国と増え
カナダ
4%
た。圏外の国々は 23 ヵ国から 81 ヵ国まで増えた。
英国
9%
占めた比率も 11%から 3%まで減少した。これらのこ
とから、米国以外の対象の裾野が広がっているとも
いえる。
米国
74%
6

フィッシング攻撃の金融機関分類別分布
11 月、大手銀行の利用者を狙った攻撃の比率は、前月比 4 ポイント減の 50%。8 月のピークから減少が続き、
2010 年 2 月以来の低水準となった。この減少分を引き受けたのは信用金庫で、前月比 5 ポイント増加し、20%
に達した。地方銀行を騙る攻撃は、ほぼ横ばいの 1 ポイント減の 30%だった。
このチャートは、金融機関に対する攻撃量ではなく、攻撃の際に名前を騙られた金融機関を種類別に分類し
た攻撃の発生状況を示している。なお、大半のフィッシング攻撃が、地域を限定しない大量のスパム配信による
ものであるため、全国規模の大手銀行の顧客がスパムを受信する確率は高くなっている。
100%
90%
15%
21%
80%
70%
8%
5%
16%
9%
11%
30%
32%
13%
13%
34%
32%
5%
12%
13%
15%
28%
32%
22%
28%
5%
36%
18%
27%
31%
60%
50%
40%
30%
71%
57%
63%
62%
68%
12月
1月
2月
71%
61%
58%
53%
55%
59%
3月
4月
5月
6月
7月
60%
54%
20%
10%
0%
10月
11月
米国大手銀行

米国地方銀行
8月
9月
10月
米国信用金庫
フィッシング攻撃のホスト国別分布(月次)
11 月も最も多くのフィッシングをホストした国は
米国だった。比率も 7 月以来続いていた 35%近辺
の水準から 50％まで増加した。
その他60ヵ国
23%
それ以上に目を惹いたのは、2 位にアルゼンチ
ンが入ったことである。ドングリの背比べとはいえ、
その前の月に初めて 6 位にランクインしたばかりが
2 位となった。
ブラジル 2%
オランダ 2%
1%以上を占める国々の数は前回の 13 ヵ国から
米国 50%
コロンビア 3%
一気に 4 ヵ国減少した。
カナダ 3%
フランス 4%
11 月は、全体の 23%を 1%未満の 60 ヵ国で分
け合っている（10 月は 18%を 59 ヵ国で分け合って
ドイツ 4%
英国 4%
アルゼンチン 5%
いた）。
※ いずれもフィッシングサイトをホストした ISP やフィッシングドメインを管理していた登録事業者の所在地別分類である。

日本でホストされたフィッシングサイト（月次推移）
2014 年 11 月、日本でホストされたフィッシングサイト数は 30 件と、10 月の 15 件から倍増した。
7
50
45
43
40
42
40
33
31
35
30
32
26
30
25
25
18
20
15
12
15
7
10
5
0
11月 12月
1月
2月
3月
4月
5月
6月
7月
8月
9月
10月 11月
2014 年 11 月、フィッシング対策協議会に報告が寄せられたフィッシング報告件数は 551 件だった。同協議会
によれば、11 月は 10 月と比較して、フィッシング報告件数は 97 件減少し、フィッシング URL 件数は 170
件増加したという。ブランド別では、金融機関を騙る事案は減少し、オンラインゲームを騙る事案が全体の 83 %
を占めた。
一般社団法人全国銀行協会は 11 月 27 日、「預金の不正払戻し」と「口座不正利用」に関するアンケート調査
の結果を発表した。昨年度までの過去 3 年間のインターネット・バンキングによる預金等の不正払戻し件数・金
額を見ると、被害の増加傾向が顕著である。過去 3 年間の個人を狙った事案は、件数 87→106→984(件)、被害
額 132→120→1,250(百万円)と推移しており、それぞれ前年比 10 倍前後の伸びを示している。法人を狙った事
案は、件数 19→1→35(件)、被害額 103→4→183(百万円)と、全体規模は小さいが再増している。法人の被害
額は、第 4 四半期だけで 1.4 億円にも達している。
11 月 27 日、国内外複数の Web サイトで Syrian Electronic Army(SEA)の画像に転送されるという報告があっ
た。調査の結果、米 GIGYA 社のサービスを利用している企業のサイトにおいて、同社の DNS が不正アクセスさ
れた結果であったことが明らかになった。他国の政治的リスクが、当該国の事業者を経由して、国内事業者に影
響を与えたことになる。完全に防ぐことは困難な脅威であるが、こうした事態の発生も考慮する必要があるだろ
う。
12 月 5 日には、技術評論社のウェブサイトが、フィッシングをきっかけに乗っ取られ、OS を入れ替えられるな
どの被害を受けている(個人情報などの漏えいは確認されていないとのこと)。
AFCC NEWS のバックナンバーは Web でご覧いただけます。
http://japan.emc.com/security/rsa-fraud-prevention/rsa-fraudaction.htm#!リソース
本ニュースレターに関するお問い合せ先
EMC ジャパン株式会社 RSA 事業本部マーケティング部
嶋宮知子
Tel ： (03)6830-3234（直通）、（03）6830-3291（部門代表） eMail ： [email protected]
Twitter ： @RSAsecurityJP WEB ： http://japan.emc.com/rsa
8

サイバー犯罪グロッサリー
APT 攻撃
APT は Advanced Persistent Threat の略。新旧様々な脆弱性を突くマルウェアやソーシャル・エンジニアリングなど、あらゆる攻撃手法
を駆使して、政府機関や公共機関に対して、長期にわたって執拗に行われる攻撃全般の総称である。
Blackshades
トロイの木馬を含む複数のサイバー攻撃手段を内包した RAT(Remote Access Tool)型のマルウェア。
CAPTCHA
Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ
れた公開チューリングテスト。機械的に判定しにくいように文字をゆがめて表示した画像を用いて、人とコンピュータを区別する方法、ま
たそれに使われる画像。
C&C サーバー Command and Control Server。ボットに感染したトロイの木馬に対する制御や指示を行うためのサーバー。
Citadel
流出した Zeus のソースコードから生まれたトロイの木馬のコード名。開発者集団が CRM を積極的に活用しているのが大きな特徴。
Zeus の備えていた機能に加え、次々と新しい顧客志向の機能をリリースしており、2012 年前半現在大流行している。
CITM
Chat-in-the-Middle の略。通常のフィッシング攻撃でニセサイトに誘導し、サポート担当者を装ったチャットにより、秘密の質問とその答え
などの高機密情報を詐取する攻撃方法。
Dark Market
オンライン詐欺師たちの集まるアンダーグラウンドフォーラム。最も格式が高かったが、主要メンバーが相次いで逮捕されたことから、
2008 年 9 月閉鎖。実態は FBI によるおとり捜査用のフォーラムだった。
fast-flux
ボットネットの型のコード名。転じてこの型のボットネットを用いた攻撃法の呼称としても用いられる。不正サイトの特定→閉鎖を困難にす
るため、複数のドメイン上のサーバーを自動的に使い回す点が大きな特徴。
MITB
Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ
ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザの設定ファイルを変更して不正なコー
ドを実行させることから、この名がついた。
Neosploit
マルウェアのコード名。PC の脆弱性を突いてマルウェアを大量配布するための攻撃者御用達ツールとして幅広く販売されていたが、
2008 年 7 月開発チームが業績不振を理由に廃業宣言した。
RBN
Russian Business Network。悪名高いロシアのサイバー犯罪者組織。
Rock Phish
世界最大規模のオンライン犯罪者集団のコード名。
SilentBanker
2007 年 12 月に発見されたトロイの木馬のコード名。世界各国の 400 以上の銀行に対するトランザクションを検知し、セッション・ハイ
ジャックすることで信用情報を詐取する。二要素認証や SSL にも対応している。
Sinowal
トロイの木馬のコード名。自動的にサイレントインストールされ、勝手にネットワークに接続し機密を外部に転送する。2006 年に最初に確
認されており、Torpig の別名を持つ。
SpyEye
トロイの木馬のコード名。2010 年急拡大し、Zeus に次ぐ地位を占めるに至った。SpyEye の作者が Zeus の作者からコードを譲り受け、
両者を統合した強力な新型トロイの木馬を開発すると発表したことで衝撃を与えた。
Stuxnet
金銭的利得を目的とした従来のマルウェアとは異なり、物理的なインフラを攻撃する目的で開発された初のマルウェア。USB メモリ経由
で感染し、重要インフラに関わるシステムを麻痺させようとする。
ZeuEsta Host Zeus を感染させたり、Zeus を使った攻撃を行ったりするために必要なツールやサポート情報の提供も含む包括的オンライン詐欺用ホス
ティングサービス。
Zeus
トロイの木馬のコード名。発生は 1996 年と古いが、2008 年 4 月に Rock Phish 団が Zeus の亜種を利用したことから再び注目を集めて
いる。オンラインバンクやクレジットカードに関する秘密を検索し、盗出する。
カーディング
不正に手に入れたクレジットカード情報を使って商品を購入する詐欺行為。商品は通常売却して現金化する。
ミュール
盗品の受領・転送や詐取した現金の振り込み・転送を担う運び屋のような役割。ただし、詐欺師がまっとうな仕事を装った採用情報にだ
まされて、知らぬ間に犯罪の片棒を担がされている人を指す。
ランサムウェア他人の PC に感染して、そのローカルデータを勝手に暗号化したり、PC が起動しないように MBR(マスター･ブート･レコード)に不正な書き
換えを加えるなど、一方的にユーザーがデータにアクセスできないようにした上で、身代金を要求するマルウェア
リシッピング
カーディングによって手に入れた商品を他国へ転送した上で換金する不正行為。盗んだクレジットカード情報を現金化する手段の一つ。
最近はサービスとしても提供されている。
9

Download Report