Gameover Zeusボットネット「閉鎖」– いま成すべきこと

2014年6月6日

更新情報:CryptoLockerに関する記述と、カスペルスキー製品によるCryptoLockerおよびZeusの検知名を追加しました(2014年6月7日)

FBIの言う「これまでになく精緻で害をなすボットネット」が発見されました。これを受け、GameOver Zeusが皆さんにどのような影響を及ぼす可能性があるのか、皆さんが自身を守るために何をすべきか、Kaspersky Labのシニアセキュリティリサーチャーであるデイヴィッド・エム(David Emm)が解説します。
gameover zeus

GameOver Zeusとは何か。どんな動きをするのか

GameOver Zeus攻撃の背後にいる攻撃者は、2つのマルウェアを使っています。ZeusとCryptoLockerです。Zeusは、コンピューターに感染してパスワードや金融情報などの個人情報を盗み取るトロイの木馬、CryptoLockerは、感染先コンピューター上のデータを暗号化し、解読キーを渡す代わりに金銭を要求するランサムウェアです。これらマルウェアを媒介するのはメールの添付ファイルであり、ファイルをクリックするとWindows PCに感染する仕組みです。感染したコンピューターは、さらなる感染先を求めてスパムメールを撒き始め、インターネット上での感染を広げていきます。

この種の脅威は珍しくありません。当社のラボではバンキング型トロイの木馬、ランサムウェアをはじめさまざまなマルウェアサンプルを観測していますが、その数はユニーク数にして1日あたり315,000にも上ります。Zeusのようなよくあるバンキング型トロイの木馬の場合、文字どおり何十万もの変種があります。これほど多くの変種が作られる理由の一端は、サイバー犯罪者が自分たちの制御下においたコンピューターをできる限り長い間利用し続けようとしていることにあります。

防御を整えるまでの時間が「2週間」と言われているのは、なぜか

本件がこれまでの事例と異なるのは、このボットネットを指揮統制する指令サーバーのコントロールを警察が握り、無効化できたことです。しかし、サイバー犯罪者たちは新たな指令サーバーを構築することでしょう。この新たな指令サーバーが稼働し始めるまでの時間を、英国ではおよそ2週間と見積もっています。この小康状態の間にユーザー各人が防御策を講じるよう、警察では注意を促しているのです。

現在指令サーバーは無効化されていますが、新たな指令サーバーが稼働し始めるのも時間の問題です。それまでの間に、できる手立てを打っておきましょう

いま何をすべきか

自分の使っているコンピューターを保護するだけではなく、コンピューター上のデータを定期的にバックアップしてください。特にランサムウェアの被害に遭った場合、この事前対策が重要な意味を持ちます。バックアップを取ってあれば、CryptoLockerに感染してしまったとき、身代金を支払わずに済ませることができます。USBメモリに重要ファイルをコピーしておくだけでも、助けになるかもしれません。

カスペルスキー製品では、これらのマルウェアを検知します。ただし、先に述べたとおり、Zeusの変種は次々と作られています。そこで、以下の対策を取ることが重要です。

  • 知らない人から届いたメールやSNSメッセージにあるリンクは、クリックしない
  • よくわからないファイルはダウンロードしない、開かない、コンピューター上に置いておかない
  • 保護のかかっていない(公共の)Wi-Fiネットワークでは、金融取引をしない。openVPNを利用してトラフィックを暗号化する
  • ログイン情報や重要情報を入力する前に、自分が入力しようとしているWebサイトが本物かどうか常に確認する。フィッシングサイトは本物のWebサイトのように巧妙に作られているものであることを意識する
  • ブラウザーのアドレスバーを見て、URLが「https」で始まっているかどうか確認する。「https」は「http」よりも安全性が高い
  • 最新のITセキュリティソフトウェアをインストールする
  • ITセキュリティソフトウェアをまだインストールしていない場合は、ただちにインストールする
  • 金融取引に使うスマートフォンやタブレットにも、同様のセキュリティソフトウェアをインストールする

カスペルスキー製品では、これらマルウェアを次のとおり検知します。

GameOver Zeus:Trojan-Spy.Win32.Zbot
CryptoLocker:Trojan-Ransom.Win32.Cryptolocker  または Trojan-Ransom.Win32.Blocker