Dyreza (別名 Dyre) は、悪名高いマルウェアの一種で、特にバンキング型トロイの木馬であり、オンライン バンキング取引を標的にして機密の金融情報を盗みます。Dyreza の巧妙さは、SSL 暗号化を回避してプレーンテキストで機密データにアクセスできる点にあります。
ディレザの起源と最初の言及
Dyreza バンキング型トロイの木馬は、2014 年にサイバー セキュリティ企業 PhishMe の研究者によって発見され、初めて明るみに出ました。このトロイの木馬は、ZIP ファイルにマルウェアが添付された「電信送金レポート」を使って、何も知らない被害者を狙う高度なフィッシング キャンペーンで特定されました。「Dyreza」という名前は、トロイの木馬のバイナリ内で見つかった文字列「dyre」に由来し、「za」は「Zeus alternative」の頭字語で、悪名高い Zeus トロイの木馬との類似性を示しています。
Dyrezaの詳細
Dyreza は、感染したシステムから認証情報やその他の機密情報を取得するように設計されており、特に銀行の Web サイトをターゲットにしています。このトロイの木馬は、「ブラウザ フック」と呼ばれる手法を使用して Web トラフィックを傍受し、操作します。このトロイの木馬は、SSL (Secure Socket Layer) 暗号化をバイパスして暗号化された Web トラフィックを読み取り、操作する機能を備えているため、他の銀行系トロイの木馬とは異なります。
Dyreza の主な配布方法は、被害者を騙してトロイの木馬をダウンロードさせ、実行させるフィッシング メールです。多くの場合、トロイの木馬は無害なドキュメントや zip ファイルに偽装されています。インストールされると、Dyreza はユーザーが興味のある Web サイト (通常は銀行の Web サイト) に移動するまで待機し、その時点でアクティブになり、データの収集を開始します。
Dyrezaの内部構造と動作
Dyreza は、被害者のマシンにインストールされると、「マン・イン・ザ・ブラウザ」攻撃を使用して Web トラフィックを監視します。これにより、マルウェアは Web フォームに追加のフィールドを挿入し、ユーザーをだまして PIN 番号や TAN などの追加情報を提供させます。また、Dyreza は「Webinjects」と呼ばれる手法を使用して Web ページのコンテンツを変更し、多くの場合、フォームにフィールドを追加してより多くのデータを収集します。
Dyreza の SSL バイパスは、ブラウザ プロセスにフックし、SSL によって暗号化される前、または暗号化解除された後にトラフィックを傍受することによって実現されます。これにより、Dyreza はプレーンテキストでデータをキャプチャし、SSL によって提供される保護を完全にバイパスできます。
Dyrezaの主な特徴
- SSL 暗号化のバイパス: Dyreza は、Web トラフィックが暗号化される前または復号化された後にそれを傍受し、プレーンテキストでデータをキャプチャします。
- マン・イン・ザ・ブラウザ攻撃: Dyreza は Web トラフィックを監視して Web フォームを操作し、ユーザーを騙して追加の機密情報を提供させます。
- Webinjects: この機能により、Dyreza は Web ページのコンテンツを変更して、より多くのデータを収集できます。
- マルチベクトルアプローチ: Dyreza は、フィッシングメールやエクスプロイトキットなどのさまざまな方法を使用してシステムに侵入します。
ディレザの種類
Dyreza には明確なタイプはありませんが、実環境ではさまざまなバージョンが観測されています。これらのバージョンは攻撃ベクトル、ターゲット、特定の手法が異なりますが、コア機能はすべて同じです。これらのバリエーションは通常、異なるタイプではなく、異なるキャンペーンと呼ばれます。
Dyreza の使用、問題、および解決策
Dyreza は、銀行の機密情報を盗む機能があるため、個人ユーザーと組織の両方に重大な脅威をもたらします。Dyreza や類似のトロイの木馬のリスクを軽減する主な方法は、強力なサイバーセキュリティ対策を実施することです。これには、最新のウイルス対策ソフトウェアを維持すること、フィッシングの危険性についてユーザーを教育すること、侵入検知システムを採用することなどが含まれます。
Dyreza 感染が疑われる場合は、感染したマシンをネットワークから切断して、さらなるデータ損失を防ぎ、信頼できるウイルス対策ツールを使用してシステムをクリーンアップすることが重要です。組織の場合は、顧客に通知し、すべてのオンライン バンキング パスワードを変更する必要がある場合があります。
類似マルウェアとの比較
Dyreza は、Zeus や Bebloh などの他のバンキング型トロイの木馬と多くの共通点があります。これらはすべて、マン・イン・ザ・ブラウザ攻撃を使用し、Web コンテンツを変更するために Web インジェクションを使用し、主にフィッシング キャンペーンを通じて配布されます。ただし、Dyreza は SSL 暗号化をバイパスする機能によって他と区別されます。これは、バンキング型トロイの木馬では一般的な機能ではありません。
| マルウェア | ブラウザ侵入者 | ウェブインジェクト | SSLバイパス |
|---|---|---|---|
| ディレザ | はい | はい | はい |
| ゼウス | はい | はい | いいえ |
| ベブロ | はい | はい | いいえ |
Dyrezaに関連する将来の展望と技術
Dyreza のようなバンキング型トロイの木馬の脅威は、サイバー犯罪者がより巧妙になるにつれて進化し続けています。将来のサイバーセキュリティ技術は、これらの脅威の早期検出を改善し、フィッシングメールやその他の攻撃ベクトルを識別する技術を改良することに重点が置かれると思われます。
機械学習と AI は、脅威の兆候となる可能性のあるパターンや異常を識別する能力があるため、サイバーセキュリティでますます採用されるようになっています。これらのテクノロジーは、Dyreza のような脅威の今後の進化に対抗する上で極めて重要となる可能性があります。
プロキシサーバーと Dyreza の関連
プロキシ サーバーは、Dyreza などのマルウェアがコマンド アンド コントロール サーバーとの通信を隠すためによく使用されます。トラフィックを複数のプロキシ経由でルーティングすることで、サイバー犯罪者は自分の位置を隠し、トラフィックの追跡を困難にすることができます。
逆に、プロキシ サーバーもソリューションの一部となります。たとえば、既知の悪意のある IP アドレスをブロックしたり、疑わしいトラフィック パターンを検出してブロックするように構成できるため、プロキシ サーバーは強力なサイバー セキュリティ戦略の貴重な一部となります。
関連リンク
Dyreza とその対策方法の詳細については、次のリソースを参照してください。
