「TSPY_ZBOT」は、セキュリティ業界で「Zeus」と呼ばれているボットネットに関連するマルウェアに対するトレンドマイクロの検出名です。このボットネット「Zeus」は、ボットネット不正活動において、情報収集型マルウェア「ZBOT」を利用する感染コンピュータ同士のネットワーク全体の名称でもあります。通常、「TSPY_ZBOT」の亜種は、スパムメールを介してコンピュータに侵入します。その際、スパムメールは、正規の発信元から送られたように装い、受信したユーザに対してメール内のリンクをクリックするように促します。リンクがクリックされると、「TSPY_ZBOT」の亜種がダウンロードされ、コンピュータ内に潜み、ユーザが特定のサイトにアクセスして認証情報を入力するのを待機します。

2007年以降、トレンドマイクロでは、「ZBOT」ファミリを監視していますが、検出数は年々大幅に増加しています。現在までに2000件以上の検出を確認し、その数は今も増え続けています。

この脅威は、どのようにしてコンピュータに侵入しますか。

この脅威は、スパムメールを介してコンピュータに侵入します。またユーザが誤って不正サイトからダウンロードすることにより侵入する場合もあります。「ZBOT」として検出されるこれらのマルウェアの大多数は、銀行関連のWebサイトを標的にしていましたが、スパムメールによる最近の攻撃では、その対象も益々多様化してきています。そうした「ZBOT」の亜種の1つが「TROJ_ZBOT.SVR」で、政府関係機関を装ったスパムメールを利用していました。もう1つは「TSPY_ZBOT.JF」で、この亜種は、AOLのインスタントメッセージ「AIM」のユーザを標的にしていました。さらに「TSPY_ZBOT.CCB」は、ソーシャル・ネットワーキング・サイト「Facebook」のユーザを標的にしていました。

スパムメッセージは、通常、正規の企業からのメールを装っており、特に最近では、政府関係機関を装っていた事例も確認され、例えば、最近の「Zeus」の攻撃では、Bank of Americaの軍用銀行の顧客を標的にしていました。「ZBOT」の亜種の中には、マイケル・ジャクソンの死因騒動など、世間の注目を集める話題に便乗したスパムメール活動も確認されています。

トレンドマイクロは、Windowsの拡張子LNKの欠陥を悪用した「ZBOT」の亜種を確認しました。また、正規のセキュリティ企業の認証が入った「ZBOT」の亜種も新たに確認しました。もちろんこの認証は、そのセキュリティ企業の正規アプリケーションの認証が無断で窃取されたものでした。

どのようにしてスパムメール内のリンクをユーザにクリックさせますか。

スパムメッセージは、通常、正規の企業からのメールを装っており、特に最近では、政府関係機関を装っている事例も確認され、「ZBOT」の亜種の中には、マイケル・ジャクソンの死因騒動など、世間の注目を集める話題に便乗したスパムメール活動も確認されています。

ボットネット「Zeus」の主な目的は何ですか。

ボットネット「Zeus」は、情報窃取を主な目的としており、オンライン銀行、ソーシャル・ネットワーキング・サービス(SNS)、電子商取引(eコマース)など、さまざまなWebサイトのアカウント情報を窃取します。

この脅威は、どのようにしてサイバー犯罪者に利益をもたらしますか。

まず金融機関や銀行関連のWebサイトが選定され、そこからユーザ名やパスワードなど、重要なオンライン銀行情報が搾取されます。その上で、窃取された情報に関連するユーザがインターネットを(HTTPおよびHTTPS双方において)を閲覧する際、その閲覧活動が監視されます。監視活動では、ブラウザのウィンドウにあるタイトルバーやアドレスバーのURLがモニタリングされ、選定された銀行関連サイトや等をユーザが閲覧した際、それを契機に攻撃が開始されます。

さらに最近の「ZBOT」の亜種は、Javaスクリプトのコードを利用し、正規の銀行のWebページへこれらのコードを挿入します。また別の「ZBOT」の亜種の場合は、正規のログインページ表示後、偽ログインページも表示させて追加情報を窃取します。こうしてサイバー犯罪者は、被害者の口座から直接金銭を入手したり、あるいは、入手した金銭をサイバー犯罪者の銀行口座に移す際、資金洗浄のためのルートやマネーミュールとして被害者の口座を利用したりする場合もあります。

これらの不正活動により、ユーザの口座情報が危険にさらされ、搾取された情報が不正使用される可能性があります。

どのようなユーザが、この脅威の危険にさらされますか。

「ZBOT」の亜種は、主にオンライン銀行のユーザを攻撃の対象とします。上述の「この脅威は、どのようにしてコンピュータに侵入しますか」でも言及しましたが、「ZBOT」はスパムメールを介して、話題のニュース記事に便乗したり、ユーザを信じこませる内容を偽装したり、人気のあるソフトウェアの欠陥を悪用したりすることで、自身を拡散させます。ほとんどのユーザが、こうした攻撃の被害者になる可能性があります。こうして、「ZBOT」に感染したPCを使用するユーザが、攻撃対象のWebサイトにログインした際、入力した個人情報等がサイバー犯罪者の手に渡ってしまう危険性があります。

この脅威に関連するマルウェアは、収集した情報を何に利用しますか。

マルウェアは、収集した情報をHTTPポストを介してリモートのWebサイトへ送信します。こうして、収集された情報はサイバー犯罪者の不正活動に利用され、アンダーグラウンド市場で販売される可能性もあります。

この脅威による攻撃が継続する理由は何ですか。

巧みなソーシャルエンジニアリングや進化を続けるスパムメールの手法に加え、ルートキット機能で検知を困難している「ZBOT」の存在も理由の1つといえまがす。別の理由としては、感染したコンピュータに自身をインストールする際、「システムファイル」および「隠しファイル」の属性を備えたフォルダを作成する亜種が、これによりユーザからのコンポーネントの検出や削除を困難にする点もあげられます。さらに、Windowsファイアウォールを無効にし、自身をプロセスに組み込んでメモリ内の常駐させる機能を備えた亜種や、コンピュータ内で既知の特定のファイアウォールプロセスを確認した際に自身を終了する亜種、「WALEDAC」や「FAKEAV」などの他のマルウェアのファミリをダウンロードして感染の連鎖を引き起こす亜種なども存在し、こうした点が、この攻撃がいつまでも継続する理由といえます。

さらに別の理由としては、「ZBOT」の作成者がWindowsの拡張子LNKの欠陥やAdobe製品のPDFファイルの「Launch機能」を悪用している点もあげられます。これらを感染経路として悪用することで、「ZBOT」の亜種は、検出されずにより多くのPCに侵入することが可能となるからです。また、最新のオペレーティングシステム(OS)に対応している点も理由としてあげられます。「ZBOT」の新しい亜種は、Windows VistaやWindows 7など、最近のOSに完全対応しています。他方、古い亜種は、これらのOSにはオプションのモジュールだけで対応していました。

「ZeuS」や、「ZBOT」、「Kneber」、それぞれの定義の違いは何ですか。

トレンドマイクロのセキュリティ専門家は2010年2月、複数のマルウェアを確認し、これらを「Kneber」という名称の新たなボットネットを形成するマルウェアと考えていました。しかし結局、このボットネット「Kneber」も、特定の「ZBOT」の感染事例に関連していたことから、ボットネット「ZeuS」と関連していたことが判明しました。他方、「ZBOT」とは、巨大ボットネットに関連するマルウェアのすべてに付加されるトレンドマイクロの検出名です。

ボットネット「ZeuS」による攻撃からPCを守るにはどうすればよいでしょうか。

Eメールを開けたりURLをクリックしたりする際は、細心の注意を払うことです。「ZBOT」のマルウェアを利用するサイバー犯罪者は、ユーザを攻撃するための新しい手口を常に探しています。こうした点からも、安全でコンピュータを操作する上での注意事項は必ず実行する必要があります。

正規のWebサイトになりすましているフィッシングページにも細心の注意が必要です。こうしたWebページには、何も知らないユーザがうっかり個人情報を入力してしまう工夫が施されています。発信元不明のEメールにも要注意です。こうしたメール内のるリンクをクリックすることで、ユーザは簡単に「ZBOT」の攻撃に見舞われてしまう可能性があります。

「TSPY_ZBOT」の亜種は、いずれも「GeneriClean」機能で対応されており、この機能は、ほとんどのトレンドマイクロ製品に搭載されています。この機能をご使用の際は、トレンドマイクロ製品によるスキャンを実行してください。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、「E-mail レピュテーション」技術により、このボットネットに関するスパムメールすべてをユーザに届く前にブロックします。また、「ファイルレピュテーション」技術により、関連する不正ファイルを検出し、その実行を防ぎます。さらに、「Web レピュテーション」技術により、ユーザが不正Webサイトにアクセスするのをブロックし、「ZBOT」の亜種からの攻撃を阻止します。また、感染したコンピュータ上で収集された情報のアップロードや、「コマンド&コントロール(C&C)サーバ」からの他のマルウェアのダウンロード等、攻撃元の通信もブロックします。

トレンドマイクロ製品をご利用でないユーザは、無料「オンラインスキャン」を利用し、ウイルス、トロイの木馬型マルウェア、ワーム、迷惑なWebブラウザのプラグイン、他のマルウェアなどによる感染の有無を確認できます。

この脅威のトレンドマイクロのヒューリスティック検出名は、「MAL_ZBOT」、「MAL_ZBOT-2」、「MAL_ZBOT-3」、「MAL_ZBOT-4」、「MAL_ZBOT-5」、 「MAL_ZBOT-6」および「MAL_ZBOT-7」です。