ボットネット「Zeus」、「ZBOT」ファミリ、ボットネット「Kneber」の関係とは

攻撃の背景

「TSPY_ZBOT」とは、ボットネット「Zeus」に関連するマルウェアの亜種に対する検出名です。「ボット」とは、感染の結果、不正リモートユーザに外部から操作されるゾンビPCのことであり、そのようなゾンビPC同士のネットワークのことを、「ボットネット」と呼びます。「Zeus」は、そうしたボットネットの中でも特に悪質なものとして有名です。そして、ボットネット「Zeus」に関連するマルウェアは、「ZBOT」ファミリとして総称され、中でも情報収集活動を行うトロイの木馬型マルウェアの各亜種は、「TSPY_ZBOT」という検出名で表記されます。

「TSPY_ZBOT」の亜種は、通常、スパムメールを介してコンピュータに侵入します。スパムメールは、正規の発信元から送られた電子メールを装い、受信したユーザに対してメール内のリンクをクリックするように促します。そのリンクをうっかりクリックしてしまうと、「TSPY_ZBOT」の亜種が、ユーザに気づかれないようにコンピュータ内にダウンロードされます。ダウンロードされたこのマルウェアは、コンピュータ内に潜みつつ、ユーザが特定のサイトにアクセしてユーザIDやパスワードを入力する際、ひそかにそのキー操作情報を収集します。

2007年以来、トレンドマイクロでは、こうした「ZBOT」ファミリの不正活動を確認し続けており、特定のマルウェアとして検出名も年を追うごとに増加しています。トレンドマイクロの英語版公式ブログ「Malware Blog」でも、下記のとおり、この攻撃に関する多くのエントリーが掲載されています。

• Keeping an Eye on the EYEBOT and a Possible Bot War
• ZBOT Variant Spoofs the NIC to Spam Other Government Agencies
• New ZBOT/ZeuS Binary Comes with a Hidden Message
• Phishers Target AOL IM Users
• SASFIS Fizzles in the Background
• Phishing in the Guise of Enhancing Security
• ZBOT Targets Facebook Again
• Another ZBOT Spam Run
• Bogus "Balance Checker" Tool Carries Malware
• Are You Being (Facebook) Phished?

ボットネット「Zeus」全般に関する各記事は、こちらをご参照ください。

これまで、トレンドマイクロでは、2000以上の「ZBOT」ファミリの検出名を確認しており、現在も増え続けています。

「Zeus」や、「ZeuS」、「ZBOT」、「Kneber」といったそれぞれの名称の違いを教えてください。

この脅威に関するボットネットは、日本語ではボットネット「Zeus」と総称されます。また一部では、「ZeuS」とした場合、特にこのボットネットの作成に利用されるツールキットを総称し、日本語でツールキット「ZeuS」と記述される場合もあります。なお、ボットネット「Zeus」関連のフィッシング攻撃で初期に使用されたツールキットには、「Rock Phish Gang」と呼ばれるものありました。そして「ZBOT」とは、こうしたボットネット「Zeus」に関連する全てのマルウェアに関して、トレンドマイクロの検出名に付加される総称です。全体を指して「ZBOT」ファミリと記述される場合もあります。他方、「Kneber」は、いわば巨大ボットネット「Zeus」の歯車の1つとして機能するボットネットとして位置づけることができます。

この脅威は、どのようにしてコンピュータに侵入しますか？

通常、スパムメールを介してコンピュータに侵入します。またユーザが誤って不正サイトからダウンロードすることにより侵入する場合もあります。「ZBOT」の検出名で総称されるこれらのマルウェアは、ほとんどの場合、オンライン銀行のユーザを標的にしています。つまり、銀行からのメールを装ったスパムメールを利用し、そのフィッシングサイトに誘導して個人情報を収集するという手口です。ただし最近の攻撃では、そのターゲットも多様化してきています。たとえば、「TROJ_ZBOT.SVR」の場合、銀行ではなく政府関係の機関になりましたスパムメールを利用しています。「TSPY_ZBOT.JF」では、AOLのインスタントメッセージ「AIM」のユーザを標的にしています。さらに「TSPY_ZBOT.CCB」では、ソーシャル・ネットワーキング・サイト「Facebook」のユーザをも標的にしています。

図：正規機関からを装ったスパムメールの一例

どのようにしてユーザをだまし、スパムメール内のリンクをクリックさせるのですか？

この攻撃で利用されるスパムメールは、通常、オンライン銀行等、正規の企業からの電子メールを装っています。最近の攻撃では、政府機関からのメールを装っているケースもありました。また場合によっては、「マイケル・ジャクソンは実は殺されていた」といったスパムメールのように、世間を騒がせた事件に便乗しつつユーザの好奇心を煽るというデマ情報を利用したケースも確認されました。

ボットネット「Zeus」がこの攻撃を仕掛けた目的はなんですか？

ボットネット「Zeus」の第一の目的は、オンライン銀行ややオンラインショッピングのWebサイトやソーシャル・ネットワーキング・サイトといった様々なWebサイトからユーザのアカウント情報やその他の個人情報の収集だということが、その手口から判断できます。

サイバー犯罪者は、この脅威により、どのようにして利益を上げますか？

この攻撃により、感染したコンピュータのネットワーク（ボットネット）を介して銀行やその他の金融機関のWebサイトがリストアップされます。そしてそれらのWebサイトに（感染したコンピュータの）ユーザがログインする際のユーザIDやパスワード等が収集されます。この攻撃で利用されるマルウェアは、通常、侵入したコンピュータ内に潜んで、ユーザのブラウザによる（HTTPおよびHTTPS双方を含む）インターネット閲覧活動を監視します。そして特定のウインドウタイトルやURLへの表示を契機として情報収集活動を行います。この活動により、ユーザの個人情報等が収集され、不正な取引に利用される恐れがあります。

特にどのようなユーザが危険にさらされますか？

「ZBOT」ファミリのマルウェアに感染したユーザです。このようなユーザが、標的とされた特定のWebサイトにログインしようとした場合、ユーザの個人情報がサイバー犯罪者の手に渡ってしまう危険性があります。

この脅威は、自身が収集した情報をどのように利用しますか？

収集された情報は、HTTPポストを介してリモートサイトへと送信されます。そしてリモートサイトで受信したサイバー犯罪者たちは、こうして収集した情報を、アンダーグラウンドマーケットでの取引等の不正活動に利用する可能性があります。

この攻撃が無くならない理由は何でしょうか？

この脅威が無くならない理由としては、巧みなソーシャルエンジニアリングやスパムメールの手口に加えて、「ZBOT」ファミリのマルウェアのほとんどがルートキット機能を備えているという点が挙げられます。このため、感染した際の検知が非常に困難になります。さらに、このファミリのマルウェアは、コンピュータに侵入して自身をインストールする際、特定のフォルダを作成し、その属性を「システムファイル」および「隠しファイル」に設定します。このため、関連コンポーネント等を検知・削除することも困難になります。また、「Windows ファイアウォール」を無効にし、自身をシステムのプロセス内に組み込ます。これも検出・削除を困難にしている原因となります。なお、侵入したコンピュータ内で特定のファイアウォールプロセスが確認された場合、直ちに自身を削除するという機能を備えているマルウェアもあります。またいくつかの亜種の中には、「WALEDAC」や「FAKEAV」といった他のファミリのマルウェアをダウンロードして攻撃の規模を拡大していくものもあるようです。

コンピュータを攻撃から守るにはどうすればいいのですか？

まず何よりも、受信したEメールを開いて本文内のリンクをクリックする際には細心の注意を払うことです。「ZBOT」ファミリのマルウェアを利用するサイバー犯罪者たちは、常に新しく巧妙な手口を駆使してユーザをだまそうとしています。このため、安全にコンピュータを操作する上での基本的な注意事項は、必ず実行する必要があります。

正規サイトになりすましたフィッシングサイトには特に注意が必要です。こういったサイトは、もとよりユーザをだますために巧妙に作成されているため、うっかり個人情報を入力してしまう危険性があります。発信元不明のメール内のリンクをクリックしてそのようなサイトに誘導されるというのが、「ZBOT」関連の攻撃の常とう手段です。

「TSPY_ZBOT」の亜種は、いずれも「ジェネリッククリーン」で対応されており、この機能は、ほとんどのトレンドマイクロ製品に備わっています。この機能を利用するためには、トレンドマイクロ製品によるスキャンを実行してください。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」は、「E-mail レピュテーション」技術により、このボットネットに関するスパムメールすべてをユーザに届く前にブロックします。また、「ファイルレピュテーション」技術により、関連するすべての不正ファイルを検出し削除します。さらに、「Web レピュテーション」技術により、ユーザがアクセスする前に、マルウェアがダウンロードされる不正Webサイトをブロックし、また、収集された情報のHTTPポストを介してのアップロードや、Command and Control（C&C）サーバからのコマンドによるマルウェアのダウンロードもブロックします。

なお、ヒューリスティック検出の場合、この攻撃は、以下のような検出名となります。

• 「MAL_ZBOT」
• 「MAL_ZBOT-2」
• 「MAL_ZBOT-3」
• 「MAL_ZBOT-4」
• 「MAL_ZBOT-5」
• 「MAL_ZBOT-6」
• 「MAL_ZBOT-7」

トレンドマイクロの専門家からのコメント：

ボットネット「Kneber」による攻撃は、まさしくボットネット「Zeus」関連のマルウェアである「ZBOT」ファミリがどのように活用されたかを示す一例だといえるだろう。このボットネットによる攻撃は、トレンドマイクロでは、2007年から既にMalware Blogのエントリでも掲載して注目してきており、ある意味、想定内の脅威であると考えている。

- トレンドマイクロの研究員Jamz Yanezaによる「Kneber」に関するコメント

アンチウイルスの検知のみによって、ボットネット「Zeus」やその関連マルウェア「ZBOT」の展開を先読みすることは簡単なことではない。この攻撃のバイナリは、まさしく一日に数回という頻度で変化し続けているからだ。

- 2009年9月にIRS（Internal Revenue Service）からを装ったスパムメールによるボットネット「Zeus」関連の攻撃が発生した際の、トレンドマイクロの研究員Paul Fergusonによるコメント