ブログ

FFRI BLOG

2013-08-23 MITB攻撃における金融機関向けセキュリティ対策製品の効果性

プロダクト開発第二部の梅橋です。

インターネットバンキングにおける不正預金引き出し被害が、今年の1月~6月の半年間で2億円に上ったことがニュース等で報道されています。これは、年間被害総額が過去最悪であった2011年を超えるペースとのことで、楽観を許さない状況であると考えております。

過去のFFRI BLOGの「インターネットバンキングを狙った攻撃について」や「SpyEye解析レポート」でもご報告しましたが、昨今、ZeusやSpyEye、Citadel等のインターネットバンキングの利用者を狙ったマルウェアが猛威を振るっており、被害の主な原因はこれらマルウェアの感染であると考えられます。 インターネットバンキングの利用者を狙ったマルウェアの攻撃手法としては、コンピューターに感染したマルウェアがブラウザを乗っ取り、ユーザーがインターネットバンキングのサイトにログインした後に、マルウェアがブラウザの画面を書き換えて認証情報を奪取したり、送金情報を不正に変更したりするといったもので、MITB(Man in the Browser)攻撃と呼ばれています。

弊社では、この新しい脅威であるMITB(Man in the Browser)攻撃からWebブラウザを保護する「FFRI Limosa」という製品をリリースしておりますが、今回のBLOGでは、「FFRI Limosa」と他社のインターネットバンキング関連のセキュリティ製品との違いについて触れてみたいと思います。


国内で販売されている金融機関向けのセキュリティ製品(銀行側が利用者に提供するブラウザと連携するシステム)の中には、MITB攻撃対策やマルウェアによる情報漏えいを防ぐ機能を謳っているものもありますが、それらの機能が、弊社の「FFRI Limosa」 と比較してどの程度有効なものなのかを検証することを目的として比較テストを実施しました。

テストの内容としては、実際のマルウェアがブラウザに侵入もしくは干渉する際に利用する手法を実装したテストツールを複数用意し、テストツール実行時に、各製品がブラウザへの侵入もしくは干渉を防ぐことができるかを検証しました。

以下は具体的なテスト内容となります。

No. 観点 テスト内容 想定される脅威
1 キーロガー対策 ブラウザへのキー入力の盗聴を防御できるかを検証 マルウェアはキーボードから入力した情報を盗むことがあります。 キーロガーを防御できない場合、ブラウザ上で入力した ID やパスワードが流出し、なりすまし等の被害に遭う可能性があります。
2 マウスロガー対策 ブラウザ上でのマウス操作の盗聴を防御できるかを検証 マルウェアはマウスの移動およびクリック位置の情報を盗むことがあります。 マウスロガーを防御できない場合、ブラウザ上のソフトウェアキーボードで入力した ID やパスワードの内容が解析され、なりすまし等の被害に遭う可能性があります。
3 スクリーンスクラッパー対策 ブラウザ上でのクリックイベントの盗聴を防御できるかを検証 マルウェアはソフトウェアキーボードをクリックした際に画面キャプチャを取得することがあります。スクリーンスクラッパーを防御できない場合、ソフトウェアキーボード等のキー配列が毎回変更されたとしても、画像から ID やパスワードが解析され、なりすまし等の被害に遭う可能性があります。
4 DLLインジェクション対策 ブラウザへの DLL のインジェクションを防御できるかを検証 マルウェアは AppInit_DLLs 機構などを悪用してブラウザプロセス等に独自の DLL をロードさせ、悪意ある動作を行います。DLL インジェクションを防御できない場合、MITB 攻撃などが行われる可能性があります。
5 コードインジェクション対策 ブラウザへのコードのインジェクションを防御できるかを検証 SpyEye 等のマルウェアはブラウザプロセス等に実行コードを挿入し、悪意ある動作を行います。コードインジェクションを防御できない場合、MITB 攻撃などが行われる可能性があります。

マルウェアの脅威をもとにテスト内容を作成しておりますが、各テストにおいて、マルウェアがブラウザに侵入もしくは干渉する際に利用する手法を網羅的にテストしている訳ではありません。

スクリーンスクラッパーは聞きなれない言葉かもしれませんが、銀行側がキーロガー対策のために採用したソフトウェアキーボードの裏をかく手法で、ソフトウェアキーボードのどのキーを入力したのかを判定して認証情報を搾取します。

4番目と5番目は、ブラウザに侵入する行為となり、MITB攻撃の前段階に利用される可能性が非常に高い攻撃となり、ここを防御できる製品が真の MITB攻撃対策製品と言えると考えております。

検証結果は以下の通りです。

製品 防御成功数 /
テストケース
キーロガー マウスロガー スクリーン
スクラッパー
DLL
インジェクション
コード
インジェクション
FFRI Limosa 5/5
A社製品 1/5 × × × ×
B社製品 0/5 × × × × ×

検証環境: Windows 7 Ultimate SP1 x64 / Internet Explorer 9

検証において使用した各社の製品は、2013年7月17日時点での最新バージョンで検証


国内のインターネットバンキングサイトで発生した、偽の画面を表示するような動作を行うには、マルウェアがブラウザプロセスに侵入して任意のコードが実行できる状態になっている必要があります。

侵入時に行われるのが、DLL インジェクションやコードインジェクション(≠HTMLインジェクション)となります。

プロセスへの侵入が成功すると、HTMLインジェクションであったり、それ以外にも盗聴活動であったり、様々な悪意ある動作を実行される可能性があります。

よって、MITB 攻撃対策は、DLL インジェクションやコードインジェクション等のブラウザへのプロセスの侵入を防げるかどうかが重要なポイントとなります。なお、侵入を防止する以外のMITB攻撃対策として、SpyEye等のマルウェアがブラウザプロセスの特定のAPIをフックした痕跡があるかどうかで検出するという方法が考えられますが、この方法の場合、マルウェア側がAPIのフック方法やフックポイントを変更したり、フック対象のAPIを変更したりすることで、容易に検知ロジックをバイパスされてしまうため、新型のマルウェアに対抗できない可能性があると考えています。

A社製品、B社製品ともに、DLL インジェクションやコードインジェクションによってブラウザプロセスに侵入できてしまったため、少なくともこれらの製品は、ブラウザへの侵入を防止する機能は備わっていないと考えることができます。つまり、「FFRI Limosa」 と他社製品の大きな違いは、マルウェアによるブラウザへの侵入防止機能の有無ということになります。

なお、B社製品に関してはMITB攻撃検知機能を備えていると謳っているため、さらに詳細な検証を実施し、ブラウザへの侵入後、どういったケースでMITB攻撃を検知するのか試しました。その結果、非常に限られた範囲でしかMITB攻撃を検知することができませんでした。それでも現状のSpyEye等に対しては一定の効果があると考えられますが、B社製品で検知できないMITB攻撃は比較的容易に実現可能であり、将来の脅威に対して大きな懸念があると弊社では認識しております。

その点、「FFRI Limosa」 は、脅威を「検知」することをゴールとしておらず、マルウェアによるブラウザへの干渉を阻止することで脅威から「保護」し、エンドユーザーが安全な状態でインターネットバンキングの利用を継続できることをコンセプトとしております。また、「FFRI Limosa」 はMITB攻撃に対し包括的な保護ロジックを実装しているため、SpyEyeといった現行のマルウェアが将来的に進化した際にも効果があると考えております。

なお、A社製品のキーロガー対策機能の検証結果に関しては、キーボードからの入力内容を暗号化しているため、今回のテスト内容以外の様々なキーロガーの攻撃にも耐性があると考え、「◎」にしています。

A社およびB社製品は、アンチウィルス機能を搭載もしくはオプションとして用意されています。これは、「FFRI Limosa」 には無い機能です。そこで、SpyEyeビルダーを利用し、SpyEye のマルウェアを生成して、2つの製品のアンチウィルス機能で検出されるかを検証しました。

Figure1SpyEye ビルダー

SpyEye ビルダー


結果としては、両製品ともアンチウィルス機能でSpyEyeを検出できませんでした。アンチウィルス機能がどのように実装されているかにもよりますが、パターンファイルベースの検出エンジンの場合、新種のマルウェアやセキュリティベンダーが入手していないマルウェアに対しては効果を期待できません。また、SpyEyeビルダーのようにマルウェアの動作を細かくカスタマイズできるツールで生成されている関係上、多数のSpyEyeの亜種が存在し、パターンファイルベースのエンジンにとっては非常に不利な状況となります。

振る舞いベースの検出エンジンであっても、マルウェア特有の悪意ある振る舞いを捉えられない場合、検出することができません。

今回のBLOGでは、昨今の大きな脅威であるMITB攻撃の対策という観点で製品比較をさせて頂きました。A社およびB社製品は、フィッシング対策機能や入力情報の暗号化機能など、「FFRI Limosa」 が搭載していない機能を備えています。そのため、どの製品が一番優れているかを一概に述べることは難しく、製品を導入するお客様にとって防ぎたい脅威とその深さや広さの範囲によって選択すべき製品が変わると考えていますが、MITB攻撃対策としては、「FFRI Limosa」 が非常に効果性の高い製品であるということをご認識して頂ければ幸いでございます。




関連記事

インターネットバンキングを狙った攻撃について

SpyEye解析レポート

国内のネットバンキング被害が過去最悪のペースで拡大中

pagetop