Qakbot:進化を続けるバンキング型トロイの木馬

Qakbot:進化を続けるバンキング型トロイの木馬

セキュリティを高めたい

先生、「Qakbot」って最近よく聞くんですけど、一体どんなものなんですか?

情報セキュリティ専門家

「Qakbot」は、人のパソコンに入り込んで銀行の情報を盗んだり、もっと悪いプログラムを運んでくる悪質なプログラムなんだ。2008年頃から見つかっていて、最近はさらに巧妙になっているんだよ。

セキュリティを高めたい

悪質なプログラムを運んでくるって、どういうことですか?

情報セキュリティ専門家

例えば、Qakbotに感染したパソコンは、さらに「ランサムウェア」という、ファイルに鍵をかけてお金を要求してくる危険なプログラムに感染しやすくなるんだ。Qakbotは他の悪質なプログラムのための入り口のような役割をしているんだよ。

Qakbotとは。

「情報セキュリティの用語で『Qakbot』って何か知ってる? 実は2008年頃からある、悪質なプログラムの一種なんだ。銀行の情報を盗むのが得意で、『Qbot』とか『QuackBot』とも呼ばれてるんだって。このプログラムがやっかいなのは、銀行の口座情報やパスワードだけじゃなくて、キーボードで入力した情報とかログイン情報も盗んじゃうんだ。

さらにたちが悪いことに、他の、もっと強力な身代金要求ウイルス(ランサムウェア)の手助けもしちゃうんだ。例えば、『BlackBasta』とか『Egregor』って名前のランサムウェアが、Qakbotを使ってパソコンに入り込んで、情報を盗んだり、システムをめちゃくちゃにしたりするんだ。

Qakbotは、主にメールに添付されたファイルを通じて感染を広げてるんだ。偽のHTMLファイルや画像ファイルに見えるけど、実はウイルスが仕込まれてるんだ。最近では、OneNoteファイルやPDFファイルにも隠れてるみたいだから、知らないファイルを開くのは本当に危険だね。

特に、盗み取ったメールアカウントの情報を使って、本物そっくりのメールを送ってくるから、だまされちゃう人が多いんだって。最近では、さらに巧妙になってきてて、PDFファイルとWSFファイルっていうのを使って、ウイルスをダウンロードさせるように仕向けてるんだ。

でも、良いニュースもあるよ! 2023年8月に、アメリカをはじめとするいろんな国が協力して、Qakbotをやっつける作戦に成功したんだって! これである程度は被害が減るといいね。」

概要

概要

– 概要
インターネットバンキングの利用者などから銀行口座情報を盗み取ることを目的とした悪意のあるソフトウェアは、2008年頃から確認されており、「Qakbot」や「Qbot」、「QuackBot」などと呼ばれています。

このソフトウェアは、利用者を騙してコンピュータに侵入すると、インターネットバンキングで利用する情報や、キーボード入力の内容、ログインに必要な情報などを盗み取ります

近年では、このソフトウェアが悪用されるケースが増えています。
特に、企業や組織のコンピュータに侵入し、重要な情報を暗号化して使えなくした上で、その復号と引き換えに金銭を要求する攻撃において、侵入経路として悪用される事例が報告されています。

具体的には、「BlackBasta」や「Egregor」といった攻撃の際に、このソフトウェアが利用されたことが確認されています。

これらのことから、Qakbotは、金銭目的の攻撃の前段階として悪用される可能性があり、注意が必要です。

名称 概要 目的 手口 最近の傾向
Qakbot
Qbot
QuackBot
インターネットバンキングの利用者などから銀行口座情報を盗み取ることを目的とした悪意のあるソフトウェア 金銭の窃取 利用者を騙してコンピュータに侵入し、インターネットバンキングの利用情報、キーボード入力の内容、ログインに必要な情報などを盗み取る。 企業や組織のコンピュータに侵入し、重要な情報を暗号化して使えなくした上で、その復号と引き換えに金銭を要求する攻撃の際に、侵入経路として悪用される事例が増加。
例:BlackBastaやEgregorといった攻撃

攻撃手法の進化

攻撃手法の進化

– 攻撃手法の進化

近年、サイバー攻撃の手法は巧妙化しており、従来型のセキュリティ対策では検知が難しくなっています。その一例として、Qakbotと呼ばれるマルウェアの拡散手法が挙げられます。
Qakbotは、HTMLスマグリングと呼ばれる手法を用いて拡散されます。これは、一見安全に見えるHTMLファイルに、悪意のあるプログラムを埋め込む手法です。

具体的には、攻撃者はまず、標的となる人物にフィッシングメールを送信します。
このメールには、HTMLファイルが添付されており、受信者が不用意に開いてしまうと、一見普通のウェブサイトが表示されます。
しかし、実際には、背後で悪意のあるプログラムが密かにダウンロードされ、ユーザーの端末に感染してしまいます。

近年、Qakbotによる攻撃はさらに巧妙化しており、HTMLファイル以外にも、ディスクイメージファイルや仮想ハードディスクファイルなど、様々な種類のファイルが利用されるようになっています。
さらに、2023年2月には、OneNoteファイルが悪用された事例も確認されており、攻撃者は常に新たな手法を模索し続けていることが分かります。

このような状況を踏まえ、利用者は、不審なファイルは開かない、怪しいメールの添付ファイルは開かない、といった基本的なセキュリティ対策を徹底する必要があります。
また、セキュリティソフトを最新の状態に保ち、OSやアプリケーションの脆弱性を解消することも重要です。

攻撃手法の進化 詳細
HTMLスマグリング 一見安全なHTMLファイルに、悪意のあるプログラムを埋め込む手法。標的となる人物にフィッシングメールを送り、添付されたHTMLファイルを開かせることで、背後で悪意のあるプログラムをダウンロードさせ、端末に感染させる。
ファイル種類の多様化 HTMLファイル以外にも、ディスクイメージファイルや仮想ハードディスクファイルなど、様々な種類のファイルが利用される。
OneNoteファイルの悪用 2023年2月には、OneNoteファイルが悪用された事例も確認されている。

巧妙化するフィッシングメール

巧妙化するフィッシングメール

近頃、手口がますます巧妙化するフィッシング詐欺が横行しています。中でも、Qakbotと呼ばれるマルウェアを使った攻撃では、その巧妙さによって深刻な被害が拡大しています。

Qakbot攻撃は、まずフィッシングメールを送りつける事から始まります。特に問題なのが、これらのメールが、過去に漏洩したメールアカウントの情報を利用して作成されているという点です。発信元が実在の人物や企業と酷似しているため、受信者はそれが偽物だとは気づかず、ついメールを開封してしまうのです。

そして、メールに添付されたファイルを開いた途端、Qakbotへの感染が始まります。近年では、PDFファイルとWSF(Windows Script File)ファイルを組み合わせた、より巧妙な攻撃も確認されています。具体的には、受信者が何の疑いもなくPDFファイルを開くと、それと同時に、攻撃者のサーバーから悪意のあるWSFファイルが密かにダウンロードされ、実行されてしまいます。

さらに、このWSFファイルは、最終的に悪質なPowerShellコマンドを実行するように設計されており、これによりシステムは完全に攻撃者の支配下に置かれてしまうのです。

攻撃フェーズ Qakbot攻撃の手口
1. フィッシングメールの送信
  • 漏洩したメールアカウント情報を利用
  • 実在の人物・企業を装い、受信者を騙す
2. マルウェア感染
  • メールに添付されたPDFファイルを開くとQakbotに感染
  • 近年はPDFとWSFファイルを組み合わせた攻撃が増加
3. WSFファイルによる攻撃
  • PDFを開くと同時に、悪意のあるWSFファイルをダウンロード・実行
  • 最終的に悪質なPowerShellコマンドを実行し、システムを掌握

ランサムウェアへの展開

ランサムウェアへの展開

– ランサムウェアへの展開Qakbotは、元々は感染したコンピュータから重要な情報を盗み出すことを目的としたマルウェアです。しかし、近年ではその活動範囲を広げ、恐ろしいランサムウェアを送り込むための橋渡し役としても悪用されています。Qakbotに感染すると、攻撃者はひそかに「Cobalt Strike」や「Brute Ratel」といった、より強力な攻撃ツールを仕掛けてきます。これらのツールは、いわば攻撃者にとってコンピュータを遠隔操作するための便利な道具のようなものです。そして最終的には、これらのツールを駆使して、金銭を要求するためにファイルなどを暗号化するランサムウェアが実行されます。Cobalt StrikeやBrute Ratelは、攻撃者に長期にわたって感染したシステムへのアクセスを許してしまうため、非常に危険です。攻撃者はこれらのツールを隠れ蓑に、機密情報を探し出して盗み出すだけでなく、システム全体を暗号化したり、さらに別のマルウェアをインストールしたりと、好き勝手に悪事を働くことができてしまいます。このように、Qakbotを起点とした攻撃は、情報窃取にとどまらず、金銭目的のランサムウェア攻撃へと姿を変え、被害をより深刻なものへと変化させています

マルウェア 説明
Qakbot – 元々は情報窃取マルウェア
– 近年ではランサムウェアを送り込むための橋渡し役としても悪用
Cobalt Strike
Brute Ratel
– 強力な攻撃ツール
– 攻撃者にコンピュータの遠隔操作を許す
– 長期にわたるシステムへのアクセスを許す危険性
ランサムウェア – Qakbot感染後、Cobalt StrikeやBrute Ratelを介して実行される
– ファイルを暗号化し、金銭を要求

法執行機関の取り組み

法執行機関の取り組み

近年、世界中で猛威を振るうサイバー犯罪の中でも、「Qakbot」と呼ばれる悪意のあるソフトウェア(マルウェア)による被害が深刻化しています。この脅威に立ち向かうべく、世界各国の法執行機関が国際的な連携を強化し、取り締まりに乗り出しています。
2023年8月には、アメリカ司法省が中心となり、複数の国々が参加する大規模な作戦が展開されました。この作戦により、「Qakbot」のマルウェアや、そのマルウェアに感染した多数のコンピューターを不正に操るネットワーク(ボットネット)の無力化に成功しました。これは、「Qakbot」による被害の拡大を食い止め、既に被害に遭われた方々を救済するための重要な一歩と言えるでしょう。
しかしながら、サイバー犯罪者たちは、常に新たな手口を編み出し、攻撃を仕掛けてくることが予想されます。「Qakbot」のような脅威から身を守るためには、私たち一人ひとりが、セキュリティ対策ソフトの導入や最新情報への注意喚起など、サイバーセキュリティに対する意識を高め、自衛策を継続していくことが重要です。

脅威 対策 現状と今後
Qakbotと呼ばれるマルウェア

感染したコンピュータを不正に操るボットネット
セキュリティソフト導入

最新情報への注意喚起

サイバーセキュリティ意識向上

自衛策の継続
  • 2023年8月、国際的な作戦によりQakbotの無力化に成功
  • サイバー犯罪者は常に新たな手口で攻撃してくることが予想される