まかふぃーぶはじめました 第28回

ツールキット「Zeus」の脅威とその防御策をマカフィーラボに聞いてみた

7億円盗んだ「日本のオンラインバンキング専用」ウイルス

2013年に入って突然、億単位の被害を叩き出したオンラインバンキング狙いのウイルス。その正体の防御策をマカフィーラボの本城氏に伺った

日本のオンラインバンキングが狙われまくり！

　2013年10月15日時点で、警察庁のまとめでは被害件数766件、被害総額約7億6000万円。これは日本のオンラインバンキングをターゲットにしたウイルス被害の諸元だ。

　日本が本格的にターゲットにされ始めたのは、2013年からとごく最近。リスト型アカウントハッキングのニュースが目立っていたため、あまり話題にはまっていないように感じるが、上記の通り、被害は拡大している。

　というわけで、ゆるふわなわりにけっこうガチなところもあるまかふぃーぶは、マカフィーに取材を行ない、オンラインバンキングを狙うウイルスについて話を聞いてきた。

ウイルスの正体は「Zeus」
急増の原因は犯罪組織に日本通が参加したから!?

――　日本のオンラインバンキングを狙うウイルスはいつごろ発見されたのでしょうか？

McAfee Labs Tokyo アンチマルウェア リサーチ 主任研究員の本城信輔氏

本城信輔氏　「日本のオンラインバンキングを狙い始めたのは、2013年に入ってからです。2007年あたりから海外で勢力を拡大している「Zeus（Zbot）」が使われています。厳密にはZbotの亜種になります」

　Zeusはトロイの木馬に属するツールキットの名称。日本では2010年に発見されているが、国内での動きが活発になったのは2013年に入ってからになる。識別情報を盗み出したり、入力された情報を盗み出すため、HTTPSも無意味である。

　またボットネットの規模としてもZeusは最大。ちなみにボットネットとは、Zeusに感染したPC群で構成されるネットワークのことでDDoS攻撃やスパム配信の温床だ。つまり、感染PCの使用ユーザーは知らないところで加害者になる可能性が高い。

――　前々から存在していたZeusですが、2013年に入ってから突然日本を狙い始めたのはなぜでしょうか？

本城　「のちほど説明しますが、Zeusがどこを狙うかは設定ファイルで定義されています。おそらくなのですが、犯罪組織に日本のオンラインバンキング事情に詳しい人物が参加したからだと思います。その結果、日本のオンラインバンキングに特化したZeusが出てきたというわけですね」

　ブラックマーケットでは、このZeusがわずか200～300ドルほどでやり取りされており、取引の現場はもっぱらIRCだとか。そこにたどり着くまでの経路は別としてエントリーは容易のようだ。ただし、“実用”にはボットネットのレンタル料（！）が必須。当然、ある程度の資金が必要となるため、やたらと亜種が出てくる状況には至っていない模様。

――　感染経路は？

本城　「かつてのガンブラー同様、ウェブサイトを見ただけで感染します。JavaやPDF、Flash、IEの脆弱性が悪用されています。これはドライブ・バイ・ダウンロード攻撃と呼ばれていて、主な感染ルートになっています。またZbotと同時に偽セキュリティソフトに感染する場合もあります」

　ドライブ・バイ・ダウンロード攻撃は、ガンブラーでも使われた手法で、2009年の同人サイトや通販サイトの改ざんが記憶に新しい。不正に改ざんされたサイトを閲覧しただけで、様々な脆弱性攻撃が開始され、最終的にマルウェア（ここは「ウイルス」でもいいです）に感染してしまう。今日においても、ドライブ・バイ・ダウンロード攻撃は、国内でもっとも活発な脅威の1つである。

　偽セキュリティソフトは、ウェブブラウズ中にときおり遭遇する、“むやみに点滅したりしながら危機感を煽るバナー広告”が代表的だ。もちろん、注意していれば回避可能なので、ASCII.jp読者が主に警戒すべきは、サイトを開いただけで感染してしまうガンブラー系の挙動だろう。

誰でもできる迅速なアップデート実行こそ最大の防御策

――　Zeusはどういった挙動を示すのでしょうか？

注意喚起をうながす三井住友銀行のリリース。Zeusの脅威を知らない人なら、なんの疑いもなく入力してしまうだろう

本城　「感染後のアクションは特にありませんが、プロセスをずっと見ていて、設定ファイルに書き込まれたターゲットにアクセス――たとえば銀行のサイトにアクセスしたら、そのサイトに被さる形で、パスワードの入力をうながすウィンドウを表示します。

　また、キーロガーとスクリーンショットのみに徹するタイプもあります。もちろん、そのウィンドウに入力した情報は盗み取られてしまいます」

　Zeusの設定ファイルには、どのサイトを狙うか、また狙ったサイトにアクセスした場合どういったアクションをとるかなどの設定が用意されているという。当然、新規設定も追加できるため、上記の行動以外を行なうタイプが出現する可能性もある。

　感染した場合は、一気に預金口座から引き抜かれるわけではなく、少額ずつ……ということが多いそうだ。そのため、被害に遭っていると気がつくまでに時間がかかるケースが多いという。不安であれば、マメに口座の入出金をチェックするほかない。

――　Zeusに対してオンラインバンキングのユーザーが気をつけるべきことは？

本城　「脆弱性を狙う攻撃なので、JavaやPDF、Flash、IEの脆弱性を修正するアップデートは必ず実行してください。日本では毎月第2水曜日（例外あり）のWindows Upadateもですね。さらにアンチウイルス製品も必要です。理想としては、通常の用途と分けて、オンラインバンキング専用のPCを用意するのが安全でしょう。仮想環境で代用することもできます」

マカフィーのマンスリーレポートでも、たびたびZeusによるオンラインバンキングのパスワード盗難が指摘されている

　ここまで読んで『スマホを使用すれば……』と思った方もいると思うが、残念ながらAndroid向けにも同内容のマルウェアが登場済み。しかもAndroidの場合はアプリの審査がゆるく、Google Play以外からのインストールも実行可能と、危険なことに変わりはない。

　iOSの場合、審査はいまのところ厳密なのでマルウェア入りのアプリが流通する危険性は少なく、Androidに比べると安心度が高い。ただ、モバイルデバイスなだけに紛失・盗難がネックではある。