Zeus Trojan(トロイの木馬Zeus、別名Zbot)は、標的となる被害者の銀行口座情報を盗むために使用される最も古いマルウェアプログラムの1つです。作者はZeusのコードを競合他社に売却しましたが、何年もの間、いくつかの亜種がリリースされました。実際、Zeusの新しい亜種は今日でもリリースされています。バンキング型トロイの木馬として始まったものは、キーロガー、ブラウザスクリプトインジェクション、ランサムウェア、および高度なピアツーピア通信ネットワークを含むマルウェアのパッケージへと進化しています。

Zeus(Zbot)の歴史

Zeusは2007年に初めて発見されましたが、作者のEvgeniy Bogachev(通称Slavic)は2005年にこのマルウェアを作成したと考えられています。当初は、ターゲットマシン上でキーロガーを実行し、銀行情報を盗むように設計されていました。しかし、SlavicはWebスクリプトを注入する機能と、Zeusに感染したすべてのマシン間でボットネット機能を実現するためのピアツーピア通信を追加しました。

2010年、Slavicは引退を表明し、Zeusのコードをマルウェアの競合他社であるSpyEyeに売却する意向を示しました。SpyEyeは、ターゲットマシンからZeusを積極的に無効化して削除し、独自のコードをインストールするものでした。Slavicが引退した直後、コードベースが公開され、いくつかのハッキンググループが独自のバージョンのZeusを作成しました。Zeusは数百万台のマシンに感染し、Slavicだけがコードを更新しピアツーピアネットワークにアクセスするための秘密鍵を持っていたため、研究者はSlavicが実際には引退していなかったと考えるようになりました。

現在、Zeus Trojanの人気のある亜種は、GameOver Zeusです。GameOver Zeus には、ランサムウェアを含むピアツーピア通信ネットワークなど、Zeusのバックボーンが含まれています。ランサムウェアは、マルウェアが銀行情報を盗むことができない場合、フェイルセーフとして機能します。研究者はGameOver Zeusの通信と効果的な作業を短期間停止させましたが、作者は研究者の制御を回避するためにコードを変更しました。

Zeus(Zbot)の仕組み

Zbotは通常、標的となるユーザーにマルウェアをダウンロードさせるための悪意のあるリンクや添付ファイルを含む、フィッシングメールを通じて開始されます。まず、ローカルシステムにマルウェアを落とし、Zbotの中央のC&Cサーバで通信できるようにします。また、ローカルマシンはZeus Trojanボットネットの一部となり、ボットネットの所有者がデバイスを制御できるようになります。ボットネットは、攻撃者がローカルマシンのデータにアクセスすることも可能にします。

オリジナルのZeus Trojanは、マシンのキーボードからキーストロークを記録するために使用されるマルウェアアプリケーションであるキーロガーをインストールします。標的となるユーザーがブラウザにURL、ユーザー名、パスワードを入力すると、キーロガーがその情報を記録し、コマンド&コントロールセンターに送信します。この活動はユーザーには見えないため、ユーザーがマシン上でマルウェアが実行されていると判断するまで継続されます。

数年後、Zeusの作者は「Webインジェクション」コンポーネントを追加しました。このコンポーネントは、銀行のページに悪意のあるJavaScriptコードを追加し、ユーザーを騙して機密情報を漏らさせるものです。Webインジェクションコンポーネントは、多要素認証を回避し、標的となるユーザーのアカウントから直接データを盗みます。

ユーザーがGameOver Zeusをインストールすると、このマルウェアは銀行口座盗用コンポーネントに加えて、ランサムウェアもインストールします。Zeusに含まれるランサムウェアは、野放しになっている他のランサムウェアと同様に動作します。このソフトウェアは、ローカルマシンと共有ドライブをスキャンして、重要なファイルを探します。その後、ランサムウェアは、安全な暗号でファイルを暗号化し、ユーザーに感染を警告します。ユーザーには、ファイルを取り戻すための身代金を支払う方法を指示するランサムノートが渡されます。

Zeus(Zbot)が与える影響

Zeusは主にクライムウェアであるため、その主な機能は標的となるユーザーの銀行情報を盗み出すことです。Webインジェクションコンポーネントは、ユーザーの銀行情報を盗むための機能の多くを実行しますが、ボットネットとピアツーピア通信がZeusの特徴です。また、ZeusはC&Cサーバを検出から防御するために使用されるプロキシ機能を備えています。

当初、すべてのピアツーピアネットワークは、それぞれの所有者によって管理された独自のバックボーンを備えていました。研究者は、このボットネットは重要なインフラを検知から守るために使われていたと考えており、数年間は機能していたようです。Slavicは複数のサイバー犯罪者と提携していたため、グループ内の誰もが自身のボットネットを制御することができました。しかし、Slavicはすべてのバックエンドインフラに独占的にアクセスすることができました。Slavicはピアツーピアネットワークにアクセスし、ソフトウェアのアップグレード、データの取得、または単に活動の盗聴を行うことができました。たとえサイバー犯罪者グループがネットワーク全体を所有していたとしても、SlavicはZeusを完全に制御することができました。

標的となるユーザーのコンピュータがランサムウェアのGameOver Zeusの影響を受けると、コンピュータは動作不能になる可能性が高くなります。ランサムウェアが企業への恐喝に有効な理由の1つは、そのスキャン能力です。ランサムウェアは、通常ネットワーク上のサーバを含むマップされたドライブをスキャンします。環境中のファイルは不可逆的に暗号化されるため、重要なアプリケーションを実行しているサーバを含め、ランサムウェアに脆弱なコンピュータは動作不能に陥ります。サーバやワークステーションが再起動すると、クラッシュしたり、ユーザがアクセスできなくなる可能性があります。多くの場合、管理者がこの種の攻撃から復旧するためには、サーバーの再イメージ化、つまりオペレーティングシステムのクリーンインストールとバックアップからの暗号化ファイルの復元を行うしかありません。災害復旧にかかる時間は、企業が機能していない時間であり、多くの場合深刻な収益損失をもたらします。

Zeus(Zbot)の被害

高度なマルウェアの重要な要素は、管理者やユーザーにその存在を感知されることなく、環境内で活動を続けることです。Zeusは、野放しになっているマルウェアアプリケーションの中でもより高度なものの1つと考えられており、15年以上にわたって生き延びています。このマルウェアの主な目的は2つあり、銀行情報を盗むことと、他のコンピュータ間の通信をボットネットに制限することです。

Zeusは、継続的にデータを盗み、C&Cサーバと通信し、銀行口座のWebページに自身をインジェクションできるように、コンピューターシステムに埋め込みます。ターゲットマシンがランサムウェアを含む亜種であるGameOver Zeusに感染していない限り、コンピュータに損害を与えることを目的としていません。

標的となるコンピュータは、ボットネットに追加された後、C&Cサーバと通信を行います。攻撃者はC&Cサーバを監視し、リモートコントロールへのアクセスや盗んだデータの送信など、感染したコンピュータ上でコマンドを実行することができます。Zeusは、何よりもまず銀行情報を盗むことを目的としているため、銀行口座の認証情報を得るためにWebブラウザの活動を継続的に監視し、開いたWebページに悪意のあるスクリプトを注入します。

マルウェアの作者の中には、コンピュータを破壊するためにウイルスを作成する人もいますが、Zeusの作者は、検出を防ぎ、ユーザーの作業が中断されないようにマルウェアを作成しました。マルウェアがコンピュータに長く留まれば留まるほど、攻撃者はユーザーの活動からより多くのデータを抽出することができます。また、ボットネット内の各コンピュータは、他のコンピュータがマルウェアネットワークから切断された場合のバックアップ用としても使用することができます。

Zeus(Zbot)の標的

Zeusには公式な標的がありません。企業を狙うマルウェアは、生産性を阻害したり、通常数百万ドルの金銭を強要したりするために作られます。Zeusの目的は、銀行の認証情報を盗み、攻撃者が個人や企業から金銭を窃取できるようにすることです。特定のボットネットをコントロールする攻撃者は、特定の企業を標的にするかもしれませんが、このマルウェアは、サーバ、Androidデバイス、Windowsワークステーションで動作するように構築されています。

Zeusは、Windows専用のトロイの木馬にAndroidデバイスを追加し、企業や個人の標的に政府機関を追加することで、被害者の範囲を広げています。ZeusのC&Cコンポーネントは、攻撃者にローカルマシンのデータへのアクセスを可能にするため、政府機関は、ワークステーションのいずれかがZeusマルウェアに感染すると、企業秘密や機密情報を失う危険性があります。

Zeusマルウェアとボットネットは、すでにいくつかの著名な政府機関や民間企業からデータを窃取しています。攻撃者はZeusを使って、NASA、アメリカ合衆国運輸省(DOT)、Bank of America、Amazon、Oracle、ABC、およびCiscoからデータを盗み出しました。

Zeus TrojanとGameOver Zeusの違い

オリジナルのZeusのソースコードにアクセスできる攻撃者は、すでにいくつかの亜種を作成しています。最近の亜種の1つにGameOver Zeusがあり、前作よりもはるかに洗練されています。GameOver Zeusはボットネットコンポーネントも搭載していますが、通信データに暗号化セキュリティのレイヤーを追加し、法執行機関の捜査からデータを保護します。

前述のとおり、GameOver Zeusは、オリジナルのZeusと同じ機能に、通信の暗号化とCryptoLockerランサムウェアが追加されています。どちらの亜種もターゲットに金銭的な損害を与えますが、GameOver ZeusのCryptoLockerコンポーネントは、組織や個人にとって間違いなく最も危険なものです。

標的となったユーザーがGameOver Zeusをインストールすると、ユーザーのコンピュータは標準のZeusボットネットに参加しますが、その後CryptoLockerランサムウェアがその機能を起動させます。CryptoLockerは、150以上のファイル拡張子やファイルタイプのリストを検索し、データを暗号化します。身代金を支払った後でなければ、秘密鍵を用いてファイルの暗号化を解除することはできません。

2014年、研究者はGameOver Zeusの秘密鍵を傍受し、CryptoLockerの被害者なら誰でもファイルを復号化できるようにしました。GameOver Zeusの開発者は、研究者を回避するためにすぐにコードを変更しましたが、短期間でGaveOver Zeusは簡単に修復されました。

Zeus(Zbot)対策

個人および組織は、Zeusが自分のマシンにインストールされるのを阻止し、防止するためにいくつかの措置を講じることができます。最初のステップは、フィッシングメールを識別するための従業員教育です。これはセキュリティ意識向上トレーニングプログラムを展開することで実現できます。Zeusのほとんどのインストールは、フィッシングメールから始まります。フィッシングメールには、Zeusをダウンロードするスクリプトや、ユーザーがブラウザでZeusをダウンロードできるリンクが含まれています。

マルウェア対策ソフトやウイルス対策ソフトを常に更新し、最新の攻撃を検知・阻止できるようにしましょう。ウイルス対策ソフトウェアに完全に依存してはいけませんが、Zeusを含む一般的な脅威の多くを阻止するのに役立ちます。アップデートすることで、ウイルス対策ソフトウェアが最新の亜種を確実に識別できるようになります。

Zeusは、ブラウザやパスワードマネージャーに保存されたパスワードを盗みます。パスワードをマシンに保存しないでください。パスワードマネージャーを使用している場合、パスワードマネージャーにアクセスするための秘密鍵を保存しないでください。

従業員は、海賊版ソフトウェアを決してダウンロードしてはいけません。海賊版ソフトウェアには、正規のソフトウェアをインストールする際にインストールされるマルウェアが隠されていることがよくあります。ソフトウェアは常に正規のソースからダウンロードし、ライセンス版のみを使用するようにしましょう。

Zeus(Zbot)の削除方法

コンピュータからZeusを削除する唯一の方法は、ウイルス対策ソフトウェアを使用することです。CryptoLockerがファイルを暗号化した場合は復号化できませんが、優れたウイルス対策プログラムを使ってZeusとボットネットを削除することは可能です。

Zeusを削除する基本的な手順は以下の通りです。

  1. ウイルス対策ソフトをダウンロードし、インストールする。
  2. Windowsコンピュータをネットワークサポートなしのセーフモードで再起動する。このステップでは、Zeusがボットネットに接続するのを阻止します。
  3. ウイルス対策ソフトウェアにコンピュータをスキャンさせる。
  4. コンピュータ上で見つかったマルウェアをウイルス対策ソフトに削除させる。ウイルス対策ソフトが表示する指示に従う。

Zeus(Zbot)に対するProofpointのソリューション

組織は、Zeusやその他の亜種を阻止するために、企業レベルのリスク管理とマルウェア対策戦略を持つ必要があります。Proofpointは、管理者がZeus、ランサムウェア、ボットネットマルウェア、その他ビジネスに害を及ぼす可能性のあるアプリケーションを阻止するための戦略およびサイバーセキュリティインフラを構築できるよう支援しています。