銀行を狙うトロイの木馬 –– 主要4種

銀行を狙うトロイの木馬は、ネズミやゴキブリに例えられるかもしれません。ゴミ箱を蹴ると数匹ばかり飛び出してきて散っていき、どこにでもいて、決していなくならない…そのほとんどは、ニュースで1度取り上げられたきり忘れ去られてしまいます。しかし、Carberp、Citadel、SpyEye、そしてZeusというトロイの木馬は、いつまでも消えることなく脅威となっているように思えます。 これらを「銀行を狙う」(バンキング型)トロイの木馬と呼ぶのは多少語弊があります。というのも、お金に関する情報を盗むこと以外にも悪事を働いているからです。呼び方の問題はさておき、サイバー犯罪の怪しげな地下世界はすべてが謎に包まれていますが、こうした悪意のあるソフトウェアはどれも現実的な問題となっています。オンラインバンキング情報をはじめとする銀行関連情報を盗む能力が、とても優れているのです。 銀行を狙うトロイの木馬の挙動はどれも基本的には同じなので、個別に特徴を説明するのは少し難しいのですが、それでも、最もまん延している4種についてまとめてみました。知名度が低いものから順に紹介していきます。 Carberp Carberpのオリジナルバージョンは、ちょっとした一般的なトロイの木馬でした。オンラインバンキングの認証情報や、価値の高いデータを扱うサイトのユーザー名とパスワードの組み合わせなど、ユーザーの重要データを盗むことを目的としていました。盗んだ情報は、Carberpの作成者が管理する指令サーバー(C&Cサーバー)に渡されます。単純明快な仕組みです。唯一手の込んだコンポーネントが複雑なルートキット機能で、自身の存在を感染先システムに気付かれないようにしていました。次世代のCarberpにはプラグインが追加され、感染先システムからマルウェア対策ソフトウェアを取り除くことや、別のマルウェアがあればそれを削除することができるようになっています。 さらに興味深いことに、Carberpの管理者は、盗んだデータを暗号化して、感染したマシンから自分たちのC&Cサーバーに送信するという機能を追加しました。研究者によるとCarberpは、静的な鍵ではなくランダムに生成される暗号鍵を使用する初のマルウェアです。 あるときCarberpは、非常に悪名高い「Blackhole Exploit Kit」と連携するようになり、感染数が大幅に増加しました。Carberpとその作成者にとっては何もかもがうまく運んでいました。さらに彼らはFacebook上にCarberpのモジュールを展開し、アカウントが一時的に凍結されたので必要情報を入力するように、とユーザーをだまして個人情報やお金を巻き上げようとしました。 研究者によるとCarberpは、静的な鍵ではなくランダムに生成される暗号鍵を使用する初のマルウェアです それからは少し勢いが衰えています。Carberpを管理していた疑いで8人の男がロシア当局に逮捕されました。しかし、Carberpは死んだわけではありません。その後もCarberpを阻止する取り組みは続き、逮捕者も出ています。一時期はこのツールを導入しようとした犯罪者に40,000ドルで販売されていたこともありましたが、昨年ソースコードが公開されたため、十分なノウハウがあればほぼ誰でも利用できるようになりました。 Citadel トロイの木馬Citadelは、金融マルウェアの王者、Zeusの亜種です。2011年にZeus のソースコードが流出してから、数多くのトロイの木馬が現れては消えていくなか、Citadelが登場しました。当初Citadelが注目を集めたのは、作成者がオープンソース開発モデルを採用するという斬新な試みを行ったためです。オープンソースでは、誰もがコードをレビューして改善する(より悪質にする)ことができます。 Citadelを管理する犯罪者グループ(複数あるかもしれません)は、世界中の顧客や協力者が参加するコミュニティを立ち上げました。このコミュニティはCitadelの新機能を提案し、ある種の犯罪ソーシャルネットワークの一環として、コードやモジュールの作成に寄与しています。とりわけ目を引く機能としては、構成ファイルやC&Cサーバーとの通信のAES暗号化、追跡サイトから逃れる機能、被害者のマシンからセキュリティサイトへのアクセスをブロックする能力、被害者の活動を録画できる機能などがあります。 Citadelの協力者のネットワークは、新しく動的な機能を次々と追加し、Citadelは適応能力を高めてさらに高速になり、あらゆる種類の認証情報の窃盗に利用される実用的なマルウェアになりました。 大きな成功を収めたCitadelですが、Microsoftと他の企業連合が立ち上げた掃討作戦によって、最終的にこの感染の約88%が無効にされています。 SpyEye SpyEyeは、銀行を狙うトロイの木馬としてZeusに対抗し得る存在になるはずでした。しかし結局は、偉大なるバスケットボールプレーヤー、マイケル・ジョーダンの後継と言われた選手たちと同じような結果に終わります。大いに宣伝され、可能性はあったものの、Zeusを王座から引きずり下ろすことは叶いませんでした。絶対王者はZeusであり、SpyEyeはすぐに期待外れの烙印を押されてしまいます。 あるときSpyEyeのボットネットの一部がZeusのボットネットと統合され、銀行を襲う巨大なボットネットとなりましたが、騒がれていたほどの効果はあげられず、下火になっていきました。しかし、成功した点もあります。SpyEyeは、Verizonのオンライン請求ページを狙った攻撃に使用され、1週間以上気付かれずに、ユーザーの個人情報や金融情報を盗みました。また、AmazonのSimple Storage Serviceに侵入し、クラウドプロバイダーであるAmazonを攻撃の基点として利用しました。Androidデバイスで使用されたこともありますが、逮捕者が相次いだことから、Androidでは使われなくなりました。あまり効果がなかったことも原因かもしれません。 SpyEyeを使用して、高度に組織化された銀行情報の窃盗を実行したとして、2012年夏にバルト諸国の男が3人逮捕されました。今年5月には、SpyEyeの開発者とされる人物がタイで逮捕され、米国に送還されました。この男にはボットネットや銀行詐欺に関する容疑が30件以上かかっています。 それ以来、SpyEyeに関するニュースはあまり耳にしなくなりました。 Zeus そしてZeusです。ギリシャの神々の王という名にふさわしく、規模、用途、効果において並ぶものはありません。2011年にソースコードが流出して以来、銀行を狙うトロイの木馬のほとんどに、Zeusの要素が組み込まれているように思えます。数あるトロイの木馬の中でも、専用のWikipediaページが作られたのはZeusだけです。Kaspersky LabのニュースサイトThreatpostで「Zeus」に言及した記事を検索すると、表示される結果は22ページ(1ページにつき10件の記事)にも及びます(本記事内のハイパーリンクもほとんどがThreatpostへのリンクです)。Zeusの悪行について小説を書こうと思えば、トルストイやプルーストの作品くらい長くなってしまうかもしれません。したがって、この脅威を短くまとめるというのは不可能に近いことではありますが、いくつか重要な点を強調してお伝えしようと思います。 2007年に突如現れたZeusは、米国運輸省を標的とした認証情報を盗むために使われていました。その後Zeusは何千万台というマシンに感染し、何億ドルものお金を盗みましたが、2011年にZeusの作成者が手を引いたと報じられ、ソースコードがオンラインで公開されました。Zeus関連の詐欺に関わったとして刑務所に送られた犯罪者は何百人にも及び、まだ服役中の者もいます。 ライセンス販売されたマルウェアはZeusが初めてでした。ソースコードが公開されるまで、銀行にも企業にも甚大な被害をもたらしています。Zeusの攻撃を受けた組織は無数にあり、とても書き切れませんが、著名な銀行、企業、政府機関も含まれています。 さらにZeusは、ZitMoというモバイル版の「弟」を巧みに利用することでも知られています。銀行では、テキストメッセージで提供されるセキュリティコードを使った2段階認証システムが広く使われていますが、ZitMoはこれを迂回します。モバイル版はSpyEyeやCarberpでも開発されました。

バンキング型トロイの木馬-featured

銀行を狙うトロイの木馬は、ネズミやゴキブリに例えられるかもしれません。ゴミ箱を蹴ると数匹ばかり飛び出してきて散っていき、どこにでもいて、決していなくならない…そのほとんどは、ニュースで1度取り上げられたきり忘れ去られてしまいます。しかし、Carberp、Citadel、SpyEye、そしてZeusというトロイの木馬は、いつまでも消えることなく脅威となっているように思えます。

バンキング型トロイの木馬-title

これらを「銀行を狙う」(バンキング型)トロイの木馬と呼ぶのは多少語弊があります。というのも、お金に関する情報を盗むこと以外にも悪事を働いているからです。呼び方の問題はさておき、サイバー犯罪の怪しげな地下世界はすべてが謎に包まれていますが、こうした悪意のあるソフトウェアはどれも現実的な問題となっています。オンラインバンキング情報をはじめとする銀行関連情報を盗む能力が、とても優れているのです。

銀行を狙うトロイの木馬の挙動はどれも基本的には同じなので、個別に特徴を説明するのは少し難しいのですが、それでも、最もまん延している4種についてまとめてみました。知名度が低いものから順に紹介していきます。

Carberp

Carberpのオリジナルバージョンは、ちょっとした一般的なトロイの木馬でした。オンラインバンキングの認証情報や、価値の高いデータを扱うサイトのユーザー名とパスワードの組み合わせなど、ユーザーの重要データを盗むことを目的としていました。盗んだ情報は、Carberpの作成者が管理する指令サーバー(C&Cサーバー)に渡されます。単純明快な仕組みです。唯一手の込んだコンポーネントが複雑なルートキット機能で、自身の存在を感染先システムに気付かれないようにしていました。次世代のCarberpにはプラグインが追加され、感染先システムからマルウェア対策ソフトウェアを取り除くことや、別のマルウェアがあればそれを削除することができるようになっています。

さらに興味深いことに、Carberpの管理者は、盗んだデータを暗号化して、感染したマシンから自分たちのC&Cサーバーに送信するという機能を追加しました。研究者によるとCarberpは、静的な鍵ではなくランダムに生成される暗号鍵を使用する初のマルウェアです。

あるときCarberpは、非常に悪名高い「Blackhole Exploit Kit」と連携するようになり、感染数が大幅に増加しました。Carberpとその作成者にとっては何もかもがうまく運んでいました。さらに彼らはFacebook上にCarberpのモジュールを展開し、アカウントが一時的に凍結されたので必要情報を入力するように、とユーザーをだまして個人情報やお金を巻き上げようとしました。

研究者によるとCarberpは、静的な鍵ではなくランダムに生成される暗号鍵を使用する初のマルウェアです

それからは少し勢いが衰えています。Carberpを管理していた疑いで8人の男がロシア当局に逮捕されました。しかし、Carberpは死んだわけではありません。その後もCarberpを阻止する取り組みは続き、逮捕者も出ています。一時期はこのツールを導入しようとした犯罪者に40,000ドルで販売されていたこともありましたが、昨年ソースコードが公開されたため、十分なノウハウがあればほぼ誰でも利用できるようになりました。

Citadel

トロイの木馬Citadelは、金融マルウェアの王者、Zeusの亜種です。2011年にZeus のソースコードが流出してから、数多くのトロイの木馬が現れては消えていくなか、Citadelが登場しました。当初Citadelが注目を集めたのは、作成者がオープンソース開発モデルを採用するという斬新な試みを行ったためです。オープンソースでは、誰もがコードをレビューして改善する(より悪質にする)ことができます。

Citadelを管理する犯罪者グループ(複数あるかもしれません)は、世界中の顧客や協力者が参加するコミュニティを立ち上げました。このコミュニティはCitadelの新機能を提案し、ある種の犯罪ソーシャルネットワークの一環として、コードやモジュールの作成に寄与しています。とりわけ目を引く機能としては、構成ファイルやC&Cサーバーとの通信のAES暗号化、追跡サイトから逃れる機能、被害者のマシンからセキュリティサイトへのアクセスをブロックする能力、被害者の活動を録画できる機能などがあります。

Citadelの協力者のネットワークは、新しく動的な機能を次々と追加し、Citadelは適応能力を高めてさらに高速になり、あらゆる種類の認証情報の窃盗に利用される実用的なマルウェアになりました。

大きな成功を収めたCitadelですが、Microsoftと他の企業連合が立ち上げた掃討作戦によって、最終的にこの感染の約88%が無効にされています。

SpyEye

SpyEyeは、銀行を狙うトロイの木馬としてZeusに対抗し得る存在になるはずでした。しかし結局は、偉大なるバスケットボールプレーヤー、マイケル・ジョーダンの後継と言われた選手たちと同じような結果に終わります。大いに宣伝され、可能性はあったものの、Zeusを王座から引きずり下ろすことは叶いませんでした。絶対王者はZeusであり、SpyEyeはすぐに期待外れの烙印を押されてしまいます。

あるときSpyEyeのボットネットの一部がZeusのボットネットと統合され、銀行を襲う巨大なボットネットとなりましたが、騒がれていたほどの効果はあげられず、下火になっていきました。しかし、成功した点もあります。SpyEyeは、Verizonのオンライン請求ページを狙った攻撃に使用され、1週間以上気付かれずに、ユーザーの個人情報や金融情報を盗みました。また、AmazonのSimple Storage Serviceに侵入し、クラウドプロバイダーであるAmazonを攻撃の基点として利用しました。Androidデバイスで使用されたこともありますが、逮捕者が相次いだことから、Androidでは使われなくなりました。あまり効果がなかったことも原因かもしれません。

SpyEyeを使用して、高度に組織化された銀行情報の窃盗を実行したとして、2012年夏にバルト諸国の男が3人逮捕されました。今年5月には、SpyEyeの開発者とされる人物がタイで逮捕され、米国に送還されました。この男にはボットネットや銀行詐欺に関する容疑が30件以上かかっています。

それ以来、SpyEyeに関するニュースはあまり耳にしなくなりました。

Zeus

そしてZeusです。ギリシャの神々の王という名にふさわしく、規模、用途、効果において並ぶものはありません。2011年にソースコードが流出して以来、銀行を狙うトロイの木馬のほとんどに、Zeusの要素が組み込まれているように思えます。数あるトロイの木馬の中でも、専用のWikipediaページが作られたのはZeusだけです。Kaspersky LabのニュースサイトThreatpostで「Zeus」に言及した記事を検索すると、表示される結果は22ページ(1ページにつき10件の記事)にも及びます(本記事内のハイパーリンクもほとんどがThreatpostへのリンクです)。Zeusの悪行について小説を書こうと思えば、トルストイやプルーストの作品くらい長くなってしまうかもしれません。したがって、この脅威を短くまとめるというのは不可能に近いことではありますが、いくつか重要な点を強調してお伝えしようと思います。

2007年に突如現れたZeusは、米国運輸省を標的とした認証情報を盗むために使われていました。その後Zeusは何千万台というマシンに感染し、何億ドルものお金を盗みましたが、2011年にZeusの作成者が手を引いたと報じられ、ソースコードがオンラインで公開されました。Zeus関連の詐欺に関わったとして刑務所に送られた犯罪者は何百人にも及び、まだ服役中の者もいます。

ライセンス販売されたマルウェアはZeusが初めてでした。ソースコードが公開されるまで、銀行にも企業にも甚大な被害をもたらしています。Zeusの攻撃を受けた組織は無数にあり、とても書き切れませんが、著名な銀行、企業、政府機関も含まれています。

さらにZeusは、ZitMoというモバイル版の「弟」を巧みに利用することでも知られています。銀行では、テキストメッセージで提供されるセキュリティコードを使った2段階認証システムが広く使われていますが、ZitMoはこれを迂回します。モバイル版はSpyEyeやCarberpでも開発されました。

Zeusは銀行を狙うマルウェアだけでなく、あらゆるマルウェアの中でも極めて悪名高いものです。Zeusより有名なマルウェアがあるとすれば、Stuxnetくらいでしょう。

防御策

4大マルウェアには、基本的な性質があります。ウイルス対策製品による検知を逃れようとするほか、キー入力、ブラウザーデータ、保存されたファイルなど、ユーザーの銀行口座への侵入に役立つあらゆる情報を傍受し、不正な送金を開始します。また、スマートフォンにモバイルマルウェアをインストールしようとすることもあります。スマートフォンに感染すれば、銀行取引によく使われる一時セキュリティコードを盗むことが可能になります。マルウェアには数多くの種類がありますが、直接的な金銭被害をもたらしかねないのが「バンキング型」、つまり銀行を狙うタイプのトロイの木馬です。だからこそ、現代のプロテクションソフトウェアは、「銀行を狙う」トロイの木馬が備える機能にあらゆる側面で対処する専用の防衛手段を備えていなければなりません。Kaspersky Labは、こうした保護対策をネット決済保護技術に組み込みました。この機能はカスペルスキー マルチプラットフォーム セキュリティに実装されています。ネット決済保護を有効にする方法についてはこちらのヒント記事をご覧ください。

バージョン2014のご紹介

クラウドベースのKaspersky Security Networkによると、毎日およそ20万件の新しいマルウェアサンプルが発見されています。1年前、その数は12万5,000件でした。サイバー脅威に対して十分な品質の対策を講じていないと、毎日スパムメールに悩まされたり、ウイルスに感染したせいでPCの動作が遅くなったりするだけでなく、財布の中身に直接影響します。サイバー犯罪者はオンラインバンキングの認証情報や他の重要な金銭的情報を盗み取ろうとします。インターネットユーザーのうち62%は、過去12か月に少なくとも1度はオンラインバンキング、ショッピング、または決済サービス関連の攻撃を受けたことがあるとしています。現代のサイバー犯罪と戦うセキュリティソリューションには、「金銭的な被害を防止する」という明白な課題があります。 現存する脅威からユーザーを守り、金銭的なデータを安全に保護するために、Kaspersky Labから近々新たにリリースされるのが「カスペルスキー インターネット セキュリティ」(カスペルスキー 2014 マルチプラットフォーム セキュリティに同梱のWindows向けプログラム)および「カスペルスキー アンチウイルス 2014」です。この2製品は、以前から備わっていた保護機能(ネット決済保護など)が強化されただけでなく、ユーザーのPCとデジタル資産を保護する「実行アプリケーションの制限」などの新機能が追加されています。また、どちらもPCのリソース消費を最低限に抑えるように最適化されています。   新機能 カスペルスキー インターネット セキュリティ2014とカスペルスキー アンチウイルス2014には、革新的なアンチウイルス技術がいくつも追加されており、保護機能が飛躍的に向上しています。両製品とも、Kaspersky Lab独自のアンチウイルス技術であるZETAシールドを搭載しています。この技術によって、データファイル(PDFドキュメントやXLS表計算シートなど)を詳細にスキャンし、内部の奥深くにエクスプロイトやマルウェアが潜んでいないかを確認します。 独自技術のZETAシールド、強化されたネット決済保護機能(カスペルスキー インターネット セキュリティ) また、ぜい弱性攻撃ブロックの技術が強化され、新種の脅威に対する保護力が向上しています。ぜい弱性攻撃ブロック機能は、正規のプログラムをスキャンして、エクスプロイトの一般的なふるまいとされるものがないかを調べます。エクスプロイトとは攻撃の一種で、インストールされたソフトウェアのぜい弱性を悪用してPCに入り込みます。ぜい弱性攻撃ブロックは、サイバー犯罪者のターゲットになりやすいJavaやAdobe Readerなどのプログラムを細かく監視し、正規のプログラムに潜むぜい弱性を突いてコンピューターの防御を破ろうとするサイバー犯罪者をブロックします。 しかし、新種の脅威や高度な脅威だけがリスクをもたらすのではありません。ランサムウェア型トロイの木馬のような昔からある脅威によってコンピューターにアクセスできなくなり、「ロック解除」するには料金を支払うようにと要求される場合があります。アンチウイルス製品がインストールされているのに、こうしたことが起きたりもします。一般に、人々はセキュリティプログラムの警告が表示されるのを無視して、正規の楽曲ファイルやドキュメントなど、正規のプログラムを装ったプログラムを自ら進んでインストールしがちです。それが実は悪意のあるプログラムだったと分かったときにはもう手遅れです。 カスペルスキー インターネット セキュリティ2014とカスペルスキー アンチウイルス2014では、こうした画面ロックに対抗する新しい保護機能が導入され、ランサムウェアに対処できるようになりました。万一画面をロックされて金銭を要求されるようなことがあっても、簡単なキーの組み合わせを入力することでマルウェアを削除できます。  

ヒント