Ursnif（別名：Gozi他）が3月以降猛威を振るっています。

セキュリティ監視センター JSOC のアナリシスグループマネージャの阿部です。

一般財団法人日本サイバー犯罪対策センター（JC3）にて注意喚起^※1が出されているUrsnif（別名：Gozi 他）が3月以降、猛威を振るっています。

JSOC監視中のお客様では昨年、Citadel、ZeusVM およびその亜種など、さまざまな種類のマルウェアの感染事例が大量に発生し大きな被害を与えました。
今年に入ってからは、3月頃からJSOCにて監視を行っている多数のお客様にてUrsnif（別名：Gozi 他）に感染したと考えられる通信を多数検知しています。

Ursnif は、クレジットカードや金融機関関連情報を窃取するなどの機能がある不正プログラムです。
また Ursnif は、キー入力操作情報を収集して送信する機能を持っているため、感染した端末からは、金融機関関連情報や、その他の重要な情報が流出する恐れがあります。

Ursnif に関連するインシデント件数

これは4月、5月のマルウェア感染インシデントの2割以上を占めています。
不正に広告クリック通信を行うマルウェアである Bedepの感染通信とあわせて検知する場合も多く、他の種類のマルウェアに感染した後に Ursnif に感染しているようです。

原因について明確になっているものは少ないですが、改ざんされたWebサイトや不正広告などからエクスプロイトキットとよばれる攻撃コードを設置されたサイトに転送され感染する、Web 経由の感染や、メールで送られてきた添付ファイルを開いて感染する、メール経由の感染などの可能性が高いようです。

感染しないための対策

これらに感染し被害にあうことがないよう、以下の対策を実施してください。

• Windows OS や Office 製品の修正プログラムをすべて適用する
• ウイルス対策ソフトウェアやパーソナルファイアウォール製品などを導入し、最新の定義ファイルでの運用を徹底する
• サードパーティ製のアプリケーション（Adobe Reader、Adobe Flash Player など）を利用している場合は、常に最新の状態に保つ、もしくは、不要なアプリケーションはアンインストールする
• 脆弱性を悪用されないよう、マイクロソフト社が提供しているEMET を導入する
• 不審なメールの添付ファイルやURLを開かないよう、ユーザへの教育を実施する
• 手口や被害事例について、常に最新の情報をセキュリティ情報サイトやニュースサイトから入手する
• 「悪意のあるソフトウェアの削除ツール」を導入する
  本日（6/15）公開されたの「悪意のあるソフトウェアの削除ツール」では、新たに Win32/Ursnif に対する定義ファイルが追加されています。^※4

あわせて、IPA 様のサイト^※2もご参照ください。

また、JSOCより発行している JSOC INSIGHT^※3にも記載しておりますが、近年 WordPress やJoomla! といった CMSアプリケーション、およびそれらのプラグインを狙った攻撃が増加しております。これらの攻撃の結果、ホストをマルウェアの置き場として悪用されないよう、サーバ管理者様はサーバのアプリケーションのアップデートにもご注意ください。

• ※1 インターネットバンキングマルウェア「Gozi」による被害に注意
• ※2 ウイルス感染を防ぐためのポイント（IPA 情報処理推進機構）
  （https://warp.ndl.go.jp/info:ndljp/pid/11440710/www.ipa.go.jp/security/personal/know/virus.html）
• ※3 セキュリティレポート（ラック）
• ※4 2016 年 6 月のセキュリティ情報（月例）MS16-063、MS16-068 ～ MS16-082