SecurityInsight | セキュリティインサイト

デジタルアーツ、標的型攻撃対策ソリューションでバンキングマルウェアのブロックを確認

デジタルアーツは11月17日、今年9月に提供開始した企業・官公庁向けWebセキュリティソフト「i-FILTER」Ver.10とメールセキュリティソフト「m-FILTER」Ver.5の連携による標的型攻撃対策ソリューションにおいて、不正送金を目的としたインターネットバンキングを攻撃するマルウェア「Ursnif」「Dreambot」などのブロックが確認できたことを発表した。

■感染手法と「i-FILTER」Ver.10/「m-FILTER」Ver.5でブロックできる範囲
(1)Dreambotをダウンロードするマクロを含んだOffice文書、URL等をメールで送信→「m-FILTER」Ver.5でブロック可能
(2)添付ファイルを開く、本文のURLをクリックするなどで「Dreambot」をダウンロードし感染する→「i-FILTER」Ver.10でブロック可能
(3)感染後はC&Cサーバーと「Tor」を利用した指令により遠隔操作され「ID/パスワード」の窃取や自動送金が実施される

■検証方法
デジタルアーツで入手できたバンキングマルウェア「Ursnif」「Dreambot」自体をダウンロードする一時検体を含むメールを「m-FILTER」Ver.5経由で受信し、さらに一時検体を起動し「Ursnif」「Dreambot」自体のダウンロードを「i-FILTER」Ver.10経由で実施。

「i-FILTER」Ver.10と「m-FILTER」Ver.5の連携による標的型攻撃対策ソリューションでは、まず「m-FILTER」が「Dreambot」感染手口の初段である「感染手法(1)」の時点でメール自体または添付ファイルのみが隔離されることが確認できた。

また、「i-FILTER」Ver.10ではメールに添付されていたマクロやスクリプトによる「Dreambot」自体のダウンロード通信である「感染手法(2)」の時点でブロックされることも確認できた。
 

関連リンク

プレスリリース