メールのセキュリティを確保せよ! 第18回
クレデンシャル情報の漏えいを検知し、契約企業に通知
RSA、FraudActionにトロイの木馬サイト閉鎖サービス
2009年10月15日 09時00分更新
10月14日、RSAセキュリティはオンラインバンキングなどの利用者を標的とする金銭詐欺を防止する「RSA FraudAction Anti-Trojan Service トロイの木馬対策サービス」を開始した。
トロイの木馬といえは、かつてはPCを乗っ取ってボット化し、DoS攻撃に利用するケースが多かった。しかし最近は、オンラインバンキングなどのID搾取を狙った金銭詐欺目的が顕著になってきている。RSAによれば、毎月100~200のトロイの木馬の亜種が発見されており、約200万台のPCを調査した結果、54.6%に何らかの確認が確認され、そのうち5.2%が金銭搾取を狙ったトロイの木馬だったという。
現在多く見られるトロイの木馬が「Zeus(ゼウス)」。以前は「Limbo」が有名だったが、オープンソース化されたことでセキュリティベンダーによる詳細な解析が可能になり下火となった
RSAでは、オンラインバンキングサイトと偽り利用者から金銭を盗み出すフィッシング詐欺への対策として、フィッシング詐欺サイトを閉鎖させる「RSA FraudAction フィッシング対策サービス」を提供している。今回のFraudAction Anti-Trojan Serviceは、そのトロイの木馬対策版。トロイの木馬の検知から、不正サイトを閉鎖させて犯罪行為を終息にいたらせるまでを一貫して行なう。
RSA FraudActionにフィッシング対策に加えてトロイの木馬対策が加わった
大きな特徴は、搾取されてしまった利用者のアカウント情報、ユーザーID/パスワードなどのクレデンシャル情報(個人を特定、認証するのに利用される個人情報)を回収して、本サービスの契約企業に提供する点。発見した不正送金先の講座情報は、すべての契約企業に公開するという、
Anti-Trojan Serviceの内容とサービスの流れ
FraudAction Anti-Trojan Serviceの流れ
RSAのトロイの木馬対策チームが、パートナーのアンチウイルスベンダーの情報を活用してトロイの木馬の分析を行ない、感染元サイト(トロイの木馬の感染源)と収集サイト(クレデンシャル情報を収集するサイト)を特定。ファイアウォールやVPN機器、Webコンテンツフィルタリングのベンダーや、ISP、ブラウザベンダーなどに情報を提供し、エンドユーザーによる感染元サイトへのアクセスを阻止する。
不正なサイトを閉鎖することで被害の拡大を防ぐ
加えて、収集サイトにダミーのクレデンシャル情報を送り込み、犯罪者側の行動の追跡と特定をめざす。犯罪者がダミー情報を利用することで追跡が可能となり、米国の金融機関の例は90%のアクティビティがこの仕組みにより追跡できたという
あわせて、感染元サイト、収集サイトなどの閉鎖を実行する。ただし、フィッシング詐欺サイトの場合は一刻も早い閉鎖を目指しているが、FraudAction Anti-Trojan Serviceではある程度時間をおいて情報集めを行なう。これは、本サービスの第1の目的が、サイトの閉鎖ではなく、回収できた情報を契約企業に伝えることにあるためだ。これにより、契約企業は、被害対象となった利用者に通知したり、口座の取引停止手続きをとるなどの適切な対処を迅速に行なえるという。
価格(税別)は、年間1080万円より。最大100インシデント(100サイトの閉鎖)が提供される。また、別途初期セットアップ費用が必要となる。すでに、三井住友銀行が採用を決定しており、2011年までに20社以上の契約獲得を目指す。
