銀行を狙うトロイの木馬型マルウェアの出現経緯

オンラインバンキングのシステムに不正にアクセスし、アカウント情報やファイルを窃盗することを目的として作成された、銀行を狙うトロイの木馬型マルウェアは、2005－2006年頃に出現し始めました。2006年に、マルウェアTrojan.PWS.GoldSpyファミリーのエントリがDr.Webウイルスデータベースに加えられました。このトロイの木馬は、現在幅広く拡散しつつあるZeus (Trojan.PWS.Panda)ファミリーの原型でもあります。Trojan.PWS.GoldSpyマルウェアは、当初はE-Goldの電子通貨を窃盗する目的で作成されましたが、その後は、他の決済システムからも金銭を窃盗するために利用されるようになりました。当時、犯罪者達は、ユーザーが閲覧するウェブページに外部コンテンツを挿入することが出来る、webインジェクションという技術を持っていませんでした。それにもかかわらず、初期の銀行を狙うトロイの木馬型マルウェアは、ユーザーが開くウェブサイトのアドレスに表示されるキーワードを監視するほか、ユーザーがそれらのサイトでフォームを入力したときに、データをログファイルに書き込んだり、スクリーンの画面キャプチャーを撮影してそれを保存したり、ユーザーを偽のウェブサイトにリダイレクトしたりするなどの、様々な機能を備えていました。

2007年には、Trojan.PWS.Bankerファミリーに属するトロイの木馬が出現しました。同種のマルウェアは、感染したコンピュータ上に、偽ブラウザのMicrosoft Internet Explorerを起動させました。その偽ブラウザの画面上には、犯罪者達が作成したウェブページが表示され、いくつかの外国の銀行の顧客向けウェブサイトを偽装していました。Trojan.PWS.Bankerの主な目的は、ユーザーが偽ブラウザで入力するアカウント名及びパスワードを詐取することでした。

2008年には、ロシアの一部の銀行が、オンラインバンキングによる口座管理というサービスを顧客向けに導入し始めました。犯罪者に悪用される技術が更なる進化を遂げた結果、トロイの木馬Trojan.PWS.GoldSpy 及び Trojan.PWS.Egoldに新たな亜種が出現しました。顧客向けオンラインシステムへの不正アクセスを狙うサイバー犯罪者は、同亜種を使用して、アカウント情報、及びトランザクションに必要なTANコードを詐取することが可能になりました。同年、Backdoor.Haxdoorの亜種による感染が確認されました。このトロイの木馬は、いくつかのオンラインバンキングのシステムへアクセスするのに必要なアカウント情報やデジタル証明書を窃盗するほか、ロシア国内134社の銀行向けに提供されているオンラインバンキングサービスの決済システムの1つに不正アクセスすることができたため、同マルウェアの影響で多額の損害が発生しました。

2011年には、トロイの木馬型マルウェアの発生ペースがピークとなり、その中でも特に危険なマルウェアとして、Trojan.Carberp、 Trojan.PWS.Ibank、Trojan.PWS.Panda （別名はZeus と Zbot）、及びTrojan.PWS.SpySweep （別名はSpyEye）が挙げられます。