fbpx

進化する攻撃「ローミングマンティス」とは?対策は?

ローミングマンティスを操作するハッカーのイメージ
サイバー攻撃の多くは、まずユーザーの心を揺さぶり、うっかりさせて、ユーザー自身に不正プログラムをインストールさせることからはじまります。
しかし近年、ユーザー自身がミスをした覚えはまったくないのに、重要な情報や金銭を盗まれるケースが頻発する様になりました。
中国語のハッカー達が、高度な技術力を背景に日々進化させているローミングマンティス(Roaming Mantis)という攻撃です。しかし基本的な対策を押さえておけば恐れることはありません。
ローミングマンティスとはなにか?その危険性と対策について、やさしく解説します。

進化するサイバー攻撃、ローミングマンティスとは

被害者が「だまされたことにも気がつかない」手口が登場してきた

しばしばマスコミで「いつの間にかオンライン銀行からお金が引き出されてしまった」との報道を目にします

しかし実は多くの場合、

  • 被害者はフッィシングメールやSMSにだまされてURLをクリックし、偽造サイトに誘導された。
  • 偽造サイトと気がつかず、「うっかりパスワードや二段階認証のコードを入力させられていた」

という「実はだまされていた」ケースばかりでした。

ブログ内の関連記事(新しいウィンドウで開きます)

TwitterやFacebook、LINEのようなSNSで起きてしまうアカウントの乗っ取り。本人になりすまして、不正メッセージや「このビデオいつでしたか」「ここであなたを見ました」のような変な画像をばらまかれた例は、あなたの周りでも多発[…]

アカウントの乗っ取りを防ぐ唯一の方法「二段階認証」のイメージ

ところがこの頃、「被害者の行動にはなにも問題はなかったにも関わらず、いつのまにかパスワードなどを盗まれて、被害にあってしまった」ケースが出てきました。

だまされたことにも気がつかないローミングマンティス

被害者が気がつかないうちに盗まれる、進化した一層危険なサイバー攻撃のうち、この頃注目されているのが「ローミングマンティス(Roaming Mantis)」という攻撃方法です。

推定では韓国語を使う地域の中国のハッカー集団が開発し、アジア向けに使い始めた物のようです。

ローミングマンティスは、ユーザーのスマホやパソコンに、不正メールや不正SMSなどいろいろな手段を使って不正プログラムをインストールさせます。

インストールしても、それ自体は無害で何もしません。発見されない様にじっとしています。
必要な時に、ハッカーの遠隔操作で不正動作する通称「トロイの木馬」の一種です。

ところがローミングマンティスは、不正動作が非常に巧みで、ユーザーは全く気がつきません。しかも手法がどんどん変化、進化していて、対策がなかなか追いつかない、危険な攻撃です。

元々アジア圏をターゲットにしていましたが、今では「日本を含む、世界27言語に対応して、日々進化中」と言われます。

 

ローミングマンティスの攻撃方法は

ローミングマンティスに感染する原因は

最大の原因は、詐欺メール(フィッシングメール)や、詐欺SMS(スミッシング)です。佐川急便や日本郵政の宅配便の不在通知を装った詐欺SMSでよく使われました。

また新型コロナの感染以降「マスクを格安で売ります」といった詐欺メールでも使われました。

これらのメール、SMSの文中のURLをクリックして、飛ばされた先の際から、不正プログラムをダウンロードしてインストールすることで感染します。ただし感染しても、すぐには動作しません。だから被害者は感染に気がつきません。

ユーザーのスマホや家庭からの通信に割り込んで不正サイトに誘導する

ローミングマンティスは、すぐには何も活動せず、ユーザーがある作業をしようとした時にはじめて動き出します。
それは、、

  • ユーザーが特定のオンライン銀行やスマホ決済のサイトやアプリを利用しようとした時だけ起動する。
  • 起動するとユーザーの、スマホや家庭のWifiルーターの設定内容を変えて、決済のサービスの途中に割り込み、ユーザーを別の不正なサイトに誘導する。
  • 何も気がつかないユーザーは、パスワードや二段階認証のコードを入力して盗まれてしまう

ということになってしまいます。
また

  • ハッカーが指示すると、ユーザーのスマホを操って、同様の不正SMSを勝手に送信する。

という不正行動も確認されています。

通信経路に割り込まれるため、ユーザーは全く気がつかない

スマホの通信機能やご家庭のルーターをDNSという設定内容を操作するなどして、ごく自然に不正サイトに誘導されるため、全く気がつかず、被害を受けてはじめて発見されることになってしまいます。

ユーザーからすると、「普通にアプリを使ったり、サービスのサイトに入力しているだけなのに、いつのまにか、何も気がつかないままIDやパスワード、二段階認証のコード」を盗まれてしまうのですから、本当に恐ろしい攻撃方法です。