PR

 金銭の奪取を目的とするサイバー犯罪者にとって、直接お金をやり取りするインターネットバンキングは魅力的なターゲットである。今回から2回にわたり、そのインターネットバンキングの脅威について詳しく見ていく。前編では、インターネットバンキングの初期に直面した問題から、ボットネット「Zeus」の登場までを取り上げる。後編では、「Zeus」の攻撃を参考にしたと思われる最近の様々な脅威についてさらに詳しく見ていくことにする。

 他の業界と同じく、銀行もサービスの向上には余念がなく、顧客に満足されるサービスの提供は、どの銀行にとっても第一の目標であろう。インターネットバンキングは、そうした顧客満足度を高めるためのサービスの一つといえる。

 ただ、インターネットバンキングは利便性が高まる一方で、リスクも増大させている。その利便性ゆえにユーザーが広がったうえ、インターネットというオープンな環境を利用することから攻撃対象としてサイバー犯罪者に着目され、不正プログラムやオンライン詐欺、情報漏えいなど、新たな問題を発生させる結果を招いた。

 インターネットバンキングに関連する初期の脅威としては、2003年に確認された「Slammer」(スラマー)の名称で知られるワームが挙げられる。このワームは、ファイルを持たず、送信するパケットはたった376バイトと小さいながら、インターネットの接続速度を著しく低下させる不正プログラムとして騒がれた。当時の米国での複数の報道によれば、このワームによって、米国の銀行「Bank of America」(バンク・オブ・アメリカ)および米国最大の貯蓄貸付組合であった「Washington Mutual」(ワシントン・ミューチュアル)の現金自動預け払い機(ATM)のネットワークが完全に停止してしまったという。

ボットネット「Zeus」の登場

 その後、情報収集型の不正プログラムを使用する手口が顕著になってきた。そうした手口の中で特に有名なものが、ボットネット「Zeus」と、それに関連する不正プログラム「ZBOT」ファミリーである。2007年からその活動が確認されている「ZBOT」ファミリーの不正プログラムは、まさしく「インターネットバンキング関連の情報を収集するために設計された」といえる。さらに、この不正プログラムを作成するためのツールキット「ZeuS」がアンダーグラウンドフォーラムで売買されていた点も特筆すべき点だろう。このツールキットは、インターネットバンキング関連情報を収集する不正プログラムを作成するだけでなく、その作成状況や活動を監視できる便利なコンソールまで備えているのだ。

 サイバー犯罪者たちは、このツールキットを利用して、何も知らずに被害に遭うユーザーの口座から彼らの懐へと不正な送金を行うのである。オープンマーケットでこのツールキット「ZeuS」が自由に出回っている現在、技術的な知識に詳しくない者でも、このツールキットを使用すれば、比較的簡単にZBOTファミリーの不正プログラムを作成して感染させ、感染コンピュータにより構築された専用のボットネット「Zeus」を介して情報収集活動をすることが可能である。

 ボットネット「Zeus」に関連する「ZBOT」ファミリーの不正プログラムも、われわれが今日よく知る脅威になるまでには、過去数年間にいくつかの大きなモデルチェンジを経て、この不正プログラムを「愛用」するサイバー犯罪者のために様々な機能が追加されてきた。最近のバージョンでは、レジストリーやフォルダー名、ファイル名の変更などの詳細部分で大きく異なっているが、コンピューターに侵入し、コンピュータ上でインターネットバンキングやその他の金融取引関係に関連したユーザー活動を監視し、ユーザーの個人情報を収集するというメインとなる不正活動は同じである。

図1●ボットネット「Zeus」と不正プログラム「ZBOT」の動き図解
[画像のクリックで拡大表示]

既存ファイルを変更、多数のサーバーへアクセス

 ボットネット「Zeus」の最新の動向として注目すべきは、「TSPY_ZBOT.BYZ」(※1)として検出される新亜種の登場である。この不正プログラムは感染活動において、「ファイルにパッチ処理を施す」という新たな手口で既存の実行ファイルをダウンローダーに変えてしまう。この不正プログラムは、コンピュータに侵入後、メモリー上で自身が持ち込んだコードを復号する。復号されたコードは、メモリー上に存在する実行ファイルに標的を定め、あたかも「パッチ適用」するようにファイル感染を行う。こうして「パッチ適用」された実行ファイルは、「PE_LICAT.A」(※2)として検出されるダウンローダーに変更されてしまうのである。

 「パッチ適用」された「PE_LICAT.A」は多数の不正サーバーにアクセスする。この際にアクセスするドメインは、ランダムなもののように見える。しかし実際は、このウイルスの実行日時をベースにして擬似ランダム的に作成されているだけで、攻撃者は「PE_LICAT.A」がどのサーバーにアクセスするのか、そしてどのサーバーへダウンロードさせる不正プログラムを仕込んでおけばよいのかがわかる仕組みになっている。

 作成されるドメイン数は1020にも及ぶ。このため、特定のドメインがアクセス不能になっても、「PE_LICAT.A」のダウンローダーとしての活動を阻止することは極めて困難である。サイバー犯罪者は、いずれかのサーバーを使用して、不正プログラムの更新コピーや情報収集用の構成ファイルなどをダウンロードさせることができる。このように「ランダムに見せかけながら日時をベースに多数のドメイン名を作成して不正活動に利用する」手口は、世界中で猛威を振るったワーム「DOWNAD(ダウンアド)」の手口とよく似ている。

図2●ZBOTの新種「TSPY_ZBOT.BYZ」の感染フロー
[画像のクリックで拡大表示]

 今日、ボットネット「Zeus」関連の不正プログラム「ZBOT」ファミリーを作成するツールキット「ZeuS」は、最も広く用いられている不正プログラム作成ツールキットの一つといえるだろう。また、このツールキットによって作成されたと見られるZBOTの亜種が大量に発見されている事実から、金銭利益を狙う攻撃者に極めて有用だったことが推測される。

 一方、ボットネット「Zeus」の事例が、セキュリティ業界や取締当局から大きな注意を引きつけることになり、逮捕者も出るようになった。注目されやすい「Zeus」を尻目に、後発のインターネットバンキングを狙う攻撃が、勢力を伸ばしている。ボットネット「Zeus」以降のインターネットバンキングを狙う攻撃については、次回詳しく解説する。

[参考]
●今回の脅威に関するウイルス情報
※1 「TSPY_ZBOT.BYZ」ウイルス情報
※2 「PE_LICAT.A」ウイルス情報

Copyrights (C) 2011 Trend Micro Inc. All rights reserved.
本記事の内容は執筆時点のものであり、含まれている情報やリンクの正確性、完全性、妥当性について保証するものではありません。
◆このコラムでは、トレンドマイクロのウイルス解析・サポートセンターであるフィリピンのトレンドラボの研究者が、最近のセキュリティインシデントについて解説します。記事はすべて新たに書き下ろしたものです。