怪しいメールをきっかけに銀行口座からお金が消える……! 被害が止まらないマルウェア DreamBotの対策は?
銀行口座がすっからかん!
日本人ユーザーを標的にした、ネットバンキングを狙うマルウェア「DreamBot(ドリームボット)」が猛威を振るっている。お金を失うことは生活に直接影響するだけに十分な注意が必要だ。
DreamBotは、インターネットバンキングなどで使われているIDやパスワードを盗むタイプのマルウェアだ。2016年6月に猛威を振るった「URSNIF(アースニフ、別名:GOZI)」を改造した亜種と考えられている。ネットバンク以外にも、仮想通貨の取引やWebウォレットの決済にも対応しているという。2017年2月にその存在が明らかになってから半年以上も被害が続いている。
DreamBotに感染すると、URSNIF同様にバックドアが開いて悪意のある第三者からの遠隔操作を許し、ネットバンキングなどを利用した際に入力するIDやパスワードが不正に送信されてしまう。情報を盗んだ第三者は、それらを利用して口座から勝手に不正な送金を実行するというわけだ。本来、そういった不正な操作を防止するためにワンタイムパスワードが存在するが、それすら偽装画面を介して盗むことがあるというからタチが悪い。
URSNIFの亜種であるDreamBotだが、その大きな違いは匿名ネットワークである「Tor」を利用するところ。Torを利用することで、どこから遠隔操作されているか、また盗んだ情報がどこに送信されているかがわからなくなる。
もっとも、企業の社内ネットワークではそもそもTorプロトコルを遮断していることが多いため、万が一感染しても被害を防げる可能性が高い。逆にいえば、家庭などでネットを利用する一般ユーザーの場合は、感染すると被害を受ける確率が高くなる。つまり予防が肝心、ということになる。
鉄板の対策は「怪しいメールを開かない」
感染を防ぐにはどうすればいいのだろう? DreamBotの感染経路は、偽装メールに添付されたファイルを開いてしまうケースと、メールの本文中に含まれているURLをクリックしてしまうケースが主流とされているが、メールを開いただけでも感染したという報告も少数ながらあるようなので注意が必要だ。
つまり、怪しいメールは開かない、という基本中の基本が感染を防ぐ対策ということになる。偽装メールの件名(サブジェクト)はさまざまだが「口座引落」「支払条件確認書」「写真」「注文書の添付」といったものは、“いかにも”なので、とにかくこういったメールを受信した場合は開かないこと。仕事柄どうしても確認しておかないと……というなら、メールを開く前に送信元をしっかり確認するべきだろう。
もちろん、セキュリティ対策製品をインストールののちに常駐させておき、パターンファイルを常に最新の状態にしておくことも欠かせない。マカフィーのリブセーフならリアルタイムでマルウェアの侵入を防いでくれるだけでなく、ウイルス定義ファイルがまだ存在しないような最新マルウェアでも、その“ふるまい”を検知ことによってシャットアウトしてくれる。
またISPによっては、受信メールをあらかじめスキャンし、マルウェアが添付されている場合にはサーバー上でそのメールを削除し、ユーザーの手元に届かないようにしてくれるサービスも存在するから、利用するのも手だ。
セキュリティ対策以外にも、ネットバンクなどのログイン履歴・利用履歴を頻繁にチェックし、身に覚えのないログインや取引がないかを日々確認するような用心深さが必要となるだろう。ネットバンキングサービスによっては、取引をリアルタイムでスマホに通知する機能があるから、それを積極的に利用するのも有効だ。
いろいろと面倒なDreamBot対策ではあるが、すべては大切な自分の資産を守るため。油断してお金を失うよりは、若干の手間をかけたほうがマシというものだ。怪しいメールを開かず、口座の動きをチェックしながらここしばらくは対策を怠らないでいただきたい。
