1月には、多くの国が確定申告の時期を迎えますが、この時期は、金銭目的のサイバー犯罪者にとって攻撃を仕掛ける好機ともなっています。こうした攻撃の際、常とう手段と化しているのがソーシャルエンジニアリングの手法です。サイバー犯罪者は、広く祝われている行事や祝日、話題のニュースに便乗してユーザの関心を引き、多額の利益を得ます。「TrendLabs(トレンドラボ)」は、確定申告の時期に毎年のようにスパムメールを確認していますが、今年も例外ではなく、アメリカ合衆国内国歳入庁(IRS)からの通知メールを装ったスパムメールを確認しました。


このスパムメールには、件名に「IRS Notification - Fiscal Activity ID # <7桁の数値>」が用いられ、圧縮ファイル(拡張子ZIP)が添付されています。さらに、本文には、確定申告の手続きのために書類を提出するよう記載されています。このため、受信者は、この添付ファイルを開き、その中にある文書ファイルを印刷するように促されます。しかし、実際には、文書ファイルなど存在せず、「TSPY_ZBOT.SMHA」として検出される情報収集型マルウェアが含まれています。このマルウェアは、ユーザのオンラインバンキング関連の個人情報を収集する機能を備えています。


「TSPY_ZBOT.SMHA」は、他の「ZBOT」の亜種と同様に、ユーザのインターネット閲覧活動を監視します。そして、特定のオンライン銀行のWebサイトにユーザがアクセスすると、口座番号や暗証番号といった個人情報を収集します。


確定申告の時期に便乗した攻撃は、今回が初めてではありません。実際、トレンドラボは、2009年にもIRSからを装ったスパムメールを確認し、4月22日の英語ブログ「TrendLabs MALWARE BLOG」にその記事を掲載しました。この詐欺攻撃は、米国での確定申告書の提出締め切りに合わせて仕掛けられたものです。スパムメールには米国非居住者の免税書類「W-8BENフォーム」の偽物が添付され、受信者にこのフォームに必要事項を記入し提出するよう求めました。この偽のフォームには、オリジナルには記載されていない「銀行口座」や「PIN(暗証番号)」といった情報を記入する項目が設けられていました。


また、同様の攻撃が、2009年6月19日にも確認されています。この事例では、オーストラリア国税庁(ATO)からを装ったスパムメールが用いられました。このスパムメールは、適切な所得税の申告のために、添付のフォームを印刷し必要事項を記入した後、国税庁へ返信するよう受信者に求めます。もちろんこれはフィッシング詐欺の手口で、添付ファイルを印刷することにより、ユーザの個人情報がリモートユーザに送信されることとなります。


今回の攻撃は、ソーシャルエンジニアリングの手口でユーザの関心を引きZBOTに感染させ、個人情報を収集します。ツールキット「ZeuS」により作成されるZBOTは、情報収集の機能を備えていることでよく知られていますが、この他にも注目すべき情報収集型マルウェアとして、ツールキット「SpyEye」により作成される「EYEBOT」があります。このEYEBOTは、ZBOTと似た機能を備えていますが、このマルウェアが関心を集めることとなった特殊な驚くべき機能も備えています。「ツールキット『ZeuS』キラー」とも呼ばれていたように、EYEBOTは、侵入したコンピュータが既にZBOTに感染していた場合、ZBOTを検出してアンインストールまたは削除しました。また、EYEBOTは、感染したコンピュータ内のAPIを利用、フックし、検出を避けます。さらに、このマルウェアのツールキット「SpyEye」には使いやすいユーザインターフェイスが備わっており、これを利用することにより、専門的な知識を持たないユーザでも容易に情報を収集し金銭を得ることが可能となりました。


この2つのツールキットは長い間にわたりライバル関係にありましたが、ツールキット「ZeuS」の作成者が、ツールキット「ZeuS」に関するソースコードをツールキット「SpyEye」の開発者に譲ったといわれており、ユーザにとってはさらなる脅威となっています。この2つの強力なツールキットの優れた機能を統合させることにより、オンラインバンキングの情報を素早く、効果的に、かつユーザに気付かれることなくひっそりと盗むためのマルウェアが作成されることとなったようです。この合併により生み出されたと考えられるマルウェアの1つとして「TSPY_SPYEYE.CE」が挙げられます。このマルウェアは、特定のWebサイトにアクセスして自身の最新版ファイルをダウンロードします。また、このマルウェアは、複数のコンポーネントをダウンロードしてより効果的に不正活動を実行するとともに自身の活動を隠匿します。このことからも、「TSPY_SPYEYE.CE」は、ツールキット「ZeuS」とツールキット「SpyEye」の両方の機能を生かして作成されたことが推測できます。


今回の事例ではZBOTが用いられていますが、「TSPY_SPYEYE.CE」のような2つの機能が合併されたと見られるマルウェアの存在も確認されているため、今後、このマルウェアを利用した攻撃が仕掛けられる可能性もあります。そのため、納税者は、今回のような手口による被害に遭わないためにもより厳重な注意が必要となります。



この脅威は、どのようにしてコンピュータに侵入しますか?


「TSPY_ZBOT.SMHA」は、ユーザが悪意のあるWebサイトにアクセスした際に誤ってダウンロードするか、他のマルウェアによって作成され、コンピュータに侵入します。また、スパムメールに添付されたZIPファイルとしてもコンピュータに侵入します。「TSPY_ZBOT.SMHA」と同様、「TSPY_SPYEYE.CE」は、ユーザが悪意のあるWebサイトから誤ってダウンロードするか、リモートサイトから他のマルウェアもしくはアドウェア等にダウンロードされ、コンピュータに侵入します。これらのマルウェアは両方とも、感染コンピュータからユーザのオンライン銀行関連の情報を収集する機能を備えています。



この脅威は、どのような攻撃をユーザに仕掛けますか?


「TSPY_ZBOT.SMHA」は、実行中プロセスに自身を組み込み、自身の活動を隠匿します。また、このマルウェアは、ランダムなポートを開きます。これにより、不正リモートユーザが感染コンピュータに接続し、コマンドを実行できるようになります。「TSPY_ZBOT.SMHA」の主要な機能は、オンライン銀行関連の個人情報を収集することです。「TSPY_ZBOT.SMHA」は、こうした情報を収集するために、感染したコンピュータから個人証明書、FTP認証情報、インターネットのセッションCookie、および “Adobe Flash player” のデータなどを取り込みます。
一方、「TSPY_SPYEYE.CE」は、実行されるとすぐに、実行中プロセスにリモートスレッドを組み込みます。そして、「TSPY_SPYEYE.CE」は、APIをフックすることによって情報を収集し、不正リモートユーザに収集した情報を送信します。また「TSPY_SPYEYE.CE」は、自身の不正活動を効果的に実行するために、くさんの環境設定ファイルの更新や自身の更新ファイルのダウンロード、キー入力操作情報の記録、およびフォームデータの記入などを行います。さらに、「TSPY_SPYEYE.CE」は、感染したコンピュータのブラウザの設定を変更する機能も備えています。



この脅威は、どのような影響をユーザに与えますか?


どちらのマルウェアもユーザのオンライン銀行関連情報を収集し、不正リモートユーザに送信します。そして彼らは、これらの情報を利用して金銭を得るのです。実際、確定申告の時期に便乗することにより、関連情報を収集できる可能性が高まります。これは、オンライン銀行を介しての確定申告が増加するためです。そのため、これらのマルウェアに感染したユーザは、自身の銀行口座から預金が不正に引き出されていたり、あるいは、クレジットカードの請求書で身に覚えのない法外な金額を請求されるなどの被害に遭うこととなります。



感染コンピュータを復旧させるにはどうすればいいですか?


感染コンピュータからマルウェアを削除するために、まずシステムの復元を無効にしてください。そして、起動中ブラウザのウインドウを全て閉じてください。その後、トレンドマイクロ製品でコンピュータの検索を実行してください。



トレンドマイクロ製品は、この脅威を防ぐことができますか?


はい。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、「E-mailレピュテーション」技術により、関連するスパムメールを受信することなくブロックできます。また、「Webレピュテーション」技術により、ユーザがアクセスする前に、マルウェアがダウンロードされる不正Webサイトをブロックします。さらに、「ファイルレピュテーション」技術により、ユーザのコンピュータに不正ファイルがダウンロードされ、実行されるのを防ぎます。



コンピュータを攻撃から守るにはどうすればいいのですか?


ユーザは、ソーシャルエンジニアリングのあらゆる手口に対して常に警戒しておくことが何よりも重要です。また、コンピュータに効果的なセキュリティ対策を施すだけでなく、見知らぬ送信者からのEメールを開いたり添付ファイルをダウンロードする際にも注意が必要です。ZBOTおよびSPYEYEを駆使して攻撃を仕掛けるサイバー犯罪者は、ユーザをだまして個人情報を盗むための新たな手口を次々と考え出してくるため、安全なコンピュータの使用を習慣付けることも有効となります。