ゲームオーバーゼウス（GameOver Zeus）とは？GOZの仕組みと対策

Zeusは、2005年に初めて発見されたマルウェアファミリーです。GameOver Zeus（GOZ）は、オリジナルのZeusの金融口座盗用コンポーネントに加えて、ランサムウェアコンポーネントを持つ高度な亜種です。どちらのコンポーネントも、攻撃者が金銭を支払う可能性を高めるものです。GameOver Zeusは、キーロガー機能とWebスクリプトインジェクションを使用して銀行口座情報を盗むだけでなく、感染したコンピュータは、P2P（ピアツーピア）プロトコルを使用して他の感染したコンピュータと通信するために使用されるボットネットの一部となることもあります。

2005年版Zeusのオリジナルは、Evgeniy Bogachev、通称「Slavic」によって作成されました。SlavicはZeusのオリジナルバージョンを作成しましたが、その後、「ビジネスクラブ」と名乗る50人以上の人々と協力し、被害者の銀行口座にソーシャルエンジニアリングとマルウェア攻撃を実行しました。この詐欺グループは、オリジナルのZeusコードに機能を追加し、著作権侵害、ボットネット活動、CryptoLockerの展開、被害者のブラウザへの悪意のあるJavaScriptとWeb要素のインジェクションを可能にしました。

2010年、SlavicはZeusのサポートを終了することを発表し、コードベースを他の人に譲り、すぐに亜種を作りました。研究者の間では「JabberZeus」として知られているこのグループは、「Murofet/Licat Zeus」という亜種を作成しました。このグループはZeusのコードを公開し、さらに多くの亜種が野放しにされることになりました。

Murofet/Licatの亜種は、GameOver Zeusのベース、ピアツーピア通信、ランサムウェアCryptoLockerの機能をソースコードに含んでいました。攻撃者は、銀行の認証情報を盗むことから、ランサムウェアを使用して被害者から金銭を脅し取ることに切り替えました。

2014年、研究者は、Zeusがそのネットワーク内でマルウェアの通信と配布に使用したドメインを押収することで、GameOver Zeusのインフラストラクチャの効果的な乗っ取りを実行しました。また、「newGOZ」と名付けられた別の亜種がすぐにリリースされましたが、長くは活動せず、マルウェア作者がコードを公開している間、研究者の注意をそらすためのものであった可能性があります。

Zeusは大規模なマルウェア群であるため、亜種ごとに攻撃モードやペイロードが異なりますが、GameOver Zeusは、そのランサムウェアのために特別に作られた亜種の1つです。ターゲットとなるデバイスがGameOver Zeusに感染した後、追加のマルウェア、通常はCryptoLockerランサムウェアをダウンロードおよびインストールする機会をうかがいます。

GameOver Zeusは、悪意のある電子メールメッセージを使用して拡散します。メッセージには、悪意のある添付ファイルや、攻撃者が管理するサーバーへのリンクが含まれていることがあります。ユーザーは、強制的にマルウェアをダウンロードさせられ、感染したコンピュータはボットネットに追加されます。ボットネット内の各コンピュータは、Zeusネットワークのコマンド＆コントロールセンターに接続し、攻撃者が感染したマシンに「命令」を与え、マルウェアをアップデートします。

標的のユーザーがGameOver Zeusをインストールした後、ユーザーがブラウザで銀行口座にアクセスするのを待ちます。このマルウェアは、スクリプトや要素をインジェクションし、ユーザーを騙してセキュリティ質問などの銀行情報を漏らさせ、攻撃者が被害者の銀行口座にアクセスして不正な取引を行うことができるようにします。GameOver Zeusは、サーバーがWebアプリケーションに接続しているユーザーを識別するために使用するセッションIDも盗みます。

GameOver Zeusの主な目的は、大規模なボットネットを使用して被害者からお金を引き出すことで、協力して銀行情報を盗んだり、被害者のオンライン銀行口座から攻撃者の銀行口座に自動的に資金を振り込んだりします。マルウェアとしてのZeusの差別化要因はヒューマンファクターです。マネーミュールは、被害者の銀行口座から資金を引き出し、その資金を攻撃者のオフショア銀行口座に送ります。

GameOver ZeusはWindowsコンピュータのバックグラウンドで動作し、ブラウザや保護されたストレージに保存されている情報を含む個人または企業の情報を継続的にチェックします。ピアツーピア通信は、コマンド＆コントロールやボットネットとのサーバー通信の検出を避けるために暗号化されています。Zeusが見つけた情報は、ボットネット内の別のピアに送信されます。

ボットネットの活動は主に感染したマシン間の通信であるため、攻撃者はZeusネットワークを借りて独自の感染活動を行うことができます。Slavicは、プライベートキーを使用してバックエンドのZeusネットワークに単独でアクセスし、ピアに接続してZeusの最新バージョンにアップデートしています。

CryptoLockerランサムウェアは、マルウェアが銀行の認証情報を盗むことに失敗した場合のセーフガードです。GameOver Zeusのランサムウェアコンポーネントは、一般的なランサムウェアと同様に機能します。ファイルの暗号化には、暗号学的に安全なRSA-2048を使用しています。被害者が身代金を支払った場合にのみ提供される秘密鍵がなければ、ファイルを復号化することはできません。

その他、ゼウスが盗み出す機密データには以下のようなものがあります。

• HTTPフォームでデータ送信された時に傍受される。
• Windows Protected Storageにあるデータはすべて盗まれ、攻撃者に送られる。
• 重要な公共インフラで使用されているクライアント証明書とキー。
• FTPおよびPOP（電子メール）アカウントの認証情報。
• HTTPおよびFlashアプリケーションのCookie。

ZeusとGameOver Zeusは10年以上前から存在し、企業や消費者への被害額は数百万ドルに上ります。Zeusの活動のピークは、2011年から2014年の間でした。GameOver Zeusは後発の亜種として開発され、2014年にその被害のほとんどをもたらしました。しかし今もなお、企業組織が積極的に予防すべき高度なマルウェアであることに変わりはありません。

FBIの報告によると、GameOver Zeusは25万台以上のコンピュータに感染し、1億ドル以上の金銭的損失をもたらしています。ZeusのランサムウェアコンポーネントであるCryptoLockerは、消費者や企業による推定2700万ドルの身代金支払いに関与しています。ケント大学の調査によると、CryptoLockerの被害者の40％が身代金を支払っていると推定されています。

FBIは、Slavicと詐欺集団に関与した共謀者を起訴し、Zeusネットワークに関連する情報に対して数百万ドルを提供しました。それでもなお、亜種は企業や消費者を悩ませ続けています。Zeusのボットネットコンポーネントは、消費者と企業の両方に影響を与え、影響を受けたマシン上でZeusを検出することは困難です。

米国、英国、ウクライナの複数の個人が捜索令状の対象であり、詐欺罪で起訴されています。FBIの案件の390件がZeusマルウェアに関連していると推定されています。また、2億2千万ドル以上の未遂被害と1億ドルの実損害が記録されています。

GameOver Zeusはフィッシングメールから始まるため、Zeusやその他のマルウェアに対する最初の防御となるのは優れたメールセキュリティソリューションです。次に、教育です。セキュリティ意識向上トレーニングプログラムによる従業員教育は欠かせません。不審なメールを検知できるユーザーは、ビジネスがランサムウェアの犠牲になるリスクを軽減できることが証明されています。また、メールフィルターや管理者向けアラートなど、ユーザーの受信トレイにメッセージが渡らないようにするための対策も追加する必要があります。

GameOver Zeusに関連するフィッシングメールの多くは、メッセージ内の悪質なリンクをクリックするようユーザーに要求します。リンクの背後にある悪意のあるWebサイトへのアクセスは、エンタープライズコンテンツフィルタによって阻止できますが、疑わしい電子メールを報告するようユーザーに促すことも必要です。アンチウイルスは、一部のマルウェアのインストーラを阻止しますが、ドライブバイダウンロードに対する唯一の防御手段であってはなりません。

エンタープライズレベルのアンチウイルスおよびアンチマルウェアアプリケーションは、マルウェアがWindowsオペレーティングシステムに埋め込まれるのを阻止するのに役立ちます。ブラウザやWindows OSを含むすべてのアプリケーションには、最新のセキュリティパッチをインストールする必要があります。既知の脆弱性を持つ古いソフトウェアは、マルウェアに感染する一般的な原因として挙げられます。

GameOver Zeusは銀行口座に関連するパスワードや機密データを盗むため、定期的にパスワードを変更することで、攻撃者がオンライン銀行口座にアクセスする能力を低下させることができます。銀行口座のダッシュボードにセッションを無効化または認証解除する方法がある場合は、銀行口座にアクセスするすべてのセッションをログアウトしてください。信頼できる銀行の多くは、オンライン口座の不正アクセス防止機能を備えていますが、不正アクセス防止機能だけに頼って、銀行口座へのリモートアクセスを阻止するべきではありません。

例年ほどの人気はないかもしれませんが、GameOver Zeusが消費者や企業にとって脅威であることに変わりはありません。2005年に最初にリリースされて以来、Zeusはさまざまな攻撃者によっていくつかの亜種が展開されてきました。GameOver Zeusはその1つに過ぎませんが、その他にもPanda Banker、Terdot、Floki、Sphinx、Citadelなどの亜種が存在します。

Slavicは、他のマルウェアに感染させるために使用されるZeus除去ソフトウェアを販売しているSpyEyeという競合他社に自分のコードを売るつもりだったと噂されています。報道では、Slavicは引退してコードを引き渡したとされていますが、研究者は、Slavicが銀行窃盗を続けるために、より堅牢なZeusコードをまだ構築している証拠を発見しています。Slavicは、コードを販売する代わりに、Zeusのアクセスを個人的にレンタルしたり、販売したりしています。

Zeusのコードは、ダークネットマーケットやハッキングサークルで入手可能であり、マルウェア作者に強固な基盤を提供しています。そのピアツーピアの活動は、Zeusの独自のバージョンを構築するためのインフラストラクチャを設定することを望む高度な詐欺グループにとって完璧なものとなっています。Zeusは、もともと銀行向けのトロイの木馬でしたが、攻撃者にとってはランサムウェアの方がより成功率が高いことが証明されています。Zeusの攻撃者のほとんどは、GameOver Zeusと連携し、トロイの木馬の活動をランサムウェアと組み合わせて、支払いの成功率を高めています。

プロキシとファイアウォールポリシーを活用する組織は、Zeusの通信を停止させることができます。残念ながら、Zeusの通信をブロックすると、ネットワーク上の正当なトラフィックも停止してしまい、従業員の生産性を阻害する可能性があります。Zeusのピーク時には、120万台のコンピュータが攻撃者のコントロール下にあったため、緊急時にネットワーク内のピア間の通信を停止させるには、IP範囲のブロックが必要になる場合があります。しかし、ダウンタイムを発生させずにブロックすることは不可能かもしれません。

特に企業環境では、ランサムウェアやZeusのような高度なマルウェアをはっきりと限定して阻止するアンチマルウェアが必要です。アンチウイルスベンダーは、ドメインやアプリケーション全体をブロックすることが多く、より高度なマルウェア対策セキュリティのような機能は持っていません。

新しいGameOver ZeusのバージョンにはNecursというルートキットがあり、Zeusを完全に除去することがより困難になっています。Zeusは、通信を続け、より多くのコンピュータに感染するために積極的な努力をするでしょう。Zeusは攻撃的なマルウェアアプリケーションであるため、攻撃的なマルウェア対策が不可欠です。

企業は、Zeusをはじめとする攻撃的で巧妙なマルウェアから保護するために、より高度な検知、封じ込め、インシデントレスポンスを必要としています。適切な戦略を組み合わせて安全なインフラストラクチャを構築し、ウイルス対策ソフトウェアとアンチマルウェアをインストールすることで、Zeus感染のリスクを軽減することができます。

Proofpointは、サイバーセキュリティの現状やGameOver Zeusのようなマルウェアをコンピュータへ感染させてしまう危険性を理解しています。Zeusの感染は、1台のワークステーションで修復するだけでは済みません。Zeusはすぐに環境全体に広がるため、直ちに封じ込めなければなりません。

Proofpointは、マルウェアを阻止し、お客様のメールシステムが攻撃の起点とならないよう保護することができます。また、悪意のあるメールメッセージを防ぎ、有害なマルウェアがお客様の環境に感染するのをブロックし、野放しになっている最も危険な脅威を根絶し修復するプロアクティブなソリューションを提供します。