FBI、英国の国家犯罪対策庁、その他複数の国際的な法執行機関は、非常に危険な 2 つの金融詐欺活動、Gameover Zeus ボットネットと Cryptolocker ランサムウェアネットワークに対する大規模な摘発作戦を実行しました。FBI は、シマンテックを含め複数の民間パートナーと協力して、双方の脅威によって使われていた大規模なインフラを押収しています。これに加えてシマンテックは、Gameover Zeus を駆除するための新しいツールをリリースしました。
Gameover Zeus は 2011 年 9 月に登場して以来、全世界で数百万件の被害をもたらしています。攻撃者は、世界中で数百もの金融機関の顧客から金銭を詐取するために、Gameover Zeus を使ってオンラインバンキングセッション中に取引を傍受します。最近の更新で、このトロイの木馬には、駆除されるのを防ぐために低レベルのドライバコンポーネントが追加されています。シマンテックは、このドライバコンポーネントやその他の Gameover Zeus コンポーネントを駆除する新しいツールを提供しています。
一方、Cryptolocker は、ランサムウェアの中でも最新かつ危険な脅威です。Cryptolocker は、被害者のハードディスク上のファイルを暗号化します。他の多くのマルウェアに感染した場合とは異なり、暗号化されたデータを復号できる方法が見つかっていないため、被害者は大切なファイルを失うか、攻撃者に身代金を支払うかのどちらかを選ぶしかありません。
Gameover Zeus: 高度な金銭詐取型のトロイの木馬
Gameover Zeus は、一般に「Zeus」として知られる Trojan.Zbot の亜種であり、ピアツーピアネットワークとドメイン生成アルゴリズム(DGA)を利用してコマンド & コントロール(C&C)サーバーに接続します。今回 Gameover Zeus を壊滅させるために、DGA によって生成されたドメインとともに、ピアネットワーク上の主要なノードが閉鎖されました。
シマンテックは、このボットネットが初めて登場して以来、その監視を続けています。ボットマスターは、世界中で感染した数十万台のコンピュータから構成される比較的安定したネットワークを維持してきました。
図 1. Gameover Zeus による被害の上位 6 カ国
Gameover は最も高度な Zeus の亜種と考えられ、Citadel や IceX といったトロイの木馬の亜種とは異なり、再販売はされていません。このボットネットを使うと、数千人もの被害者のオンラインバンキングセッションを乗っ取って、大規模な金融詐欺を実行することができます。Gameover Zeus の背後にいるグループは、ボットネットを使って次のような詐欺活動をリアルタイムに実行します。Gameover Zeus は通常、請求書に偽装した電子メールを介して拡散されます。感染したコンピュータを使って被害者がオンラインバンキングサイトにアクセスすると、Gameover Zeus は MITB(Man-in-the-Browser)として知られる手口を使ってオンラインセッションを傍受します。さらに、2 要素認証を回避し、偽のオンラインバンキングのセキュリティメッセージをユーザーに表示して、取引の承認に必要な情報を取得します。攻撃者は、入手した情報を使ってユーザーのオンラインバンキング取引を改ざんし、金銭を盗み取ることができます。
図 2. 不正取引の実行手順
Gameover Zeus が持つ高度な機能を踏まえると、一連の攻撃を行っているグループは高度に組織化されており、Gameover Zeus が登場する以前から金銭の詐取を目的とした活動に関与していたと考えられます。2011 年 5 月に Zeus のソースコードが流出したことにより、Gameover Zeus は進化を遂げました。ある時期に急速に開発が進められ、追加の暗号化技術、DGA、そしてこれが最も重要ですが、ピアツーピア通信機能が実装されました。このような進化によってボットネットのコマンド & コントロール(C&C)サーバーが分散され、大規模な感染ベースを維持するとともに閉鎖への耐性が高くなりました。
2014 年には、Gameover が低レベルのドライバを実装したことにより、簡単にアンインストールできないようになりました。このドライバは、Backdoor.Necurs というよく知られた脅威と同じ特徴を持っています。Gameover Zeus の攻撃グループがこのコンポーネントを開発したとは考えにくく、おそらくはサードパーティから入手または購入したと思われます。この保護層が追加されたことで、このマルウェアの駆除はさらに難しくなっています(下記の駆除ツールへのリンクを参照)。
図 3. Gameover Zeus の P2P ボットネットの規模
このボットネットの壊滅を狙った摘発作戦が 2012 年の春と秋に 2 回実行されましたが、Gameover Zeus はこれを切り抜けています。Gameover Zeus を使うグループは、不審な活動を注意深く監視して、感染したコンピュータから構成される既存のネットワークを保護しようとしています。攻撃グループにとって、このボットネットは収益力が高いインフラとして保護に値するものであり、このグループは、ネットワーク内の弱点を検出して必要に応じて再構築していることがわかっています。Gameover に対する今回の摘発作戦が長期的に成功するかどうかは、まだわかりません。
シマンテックは Gameover ネットワークの監視を継続し、世界中のインターネットサービスプロバイダ(ISP)や CERT に積極的にデータを提供していきます。これらのデータは、このボットネットに対する継続的な壊滅作戦において、被害者を特定して通知するために使われます。
Cryptolocker: 効果的な恐喝ツール
Cryptolocker は、ランサムウェアの一種です。ランサムウェアは、被害者のコンピュータをロックしたりファイルを暗号化したりすることで金銭をゆすり取ろうとします。Cryptolocker は解読できない強力な暗号化機能を実装しているため、拡散しているランサムウェアの中で最も危険な亜種です。
この脅威が初めて登場したのは 2013 年 9 月のことです。ランサムウェアによる被害全体に占める割合はわずかですが、被害者がファイルをバックアップしていない場合は身代金を支払わない限りファイルを失うことになるため、世間の注目を集めています。
Cryptolocker をはじめとするランサムウェアは、攻撃者にとって非常に採算性が高いことがわかっています。シマンテックの調査によると、感染したユーザーの平均 3 % が身代金を支払ってしまいます。Cryptolocker の攻撃者グループは過去 1 年間に、数千万ドルを稼いだと思われます。
たいていの場合、被害者は、添付された zip ファイルを開くように仕向けるソーシャルエンジニアリングの手口を使ったスパムメールによって感染します。
図 4. Cryptolocker のスパムメールの例
添付ファイルを開くと、電子メールの内容に合わせて請求書や他の類似の文書に偽装された実行可能ファイルが起動します。この実行可能ファイルが Trojan.Zbot(別名 Zeus)をダウンロードします。Zeus に感染したコンピュータは、さらに Trojan.Cryptolocker をダウンロードします。次に、Cryptolocker は、組み込みのドメイン生成アルゴリズム(DGA)を利用して生成されたアドレスのコマンド & コントロール(C&C)サーバーに接続します。C&C サーバーが見つかると、ファイルの暗号化に使われる公開鍵が、感染したコンピュータにダウンロードされますが、それに対応する秘密鍵(ファイルの復号に必要です)は C&C サーバーに残されたままです。
保護対策:
シマンテックは、ウイルス対策ソフトウェアを回避して無効化する Gameover Zeusのコンポーネントを駆除するための新しいツールをリリースしました。このページにアクセスしてツールをダウンロードすることで、このコンポーネントを駆除し、Gameover Zeus による感染を除去することができます。
Gameover Zeus のウイルス対策検出定義
関連するコンポーネントの検出定義
侵入防止シグネチャ
Symantec.cloud サービスをお使いのお客様も、これらの脅威から保護されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。