銀行を狙うトロイの木馬 –– 主要4種

2013年10月30日

銀行を狙うトロイの木馬は、ネズミやゴキブリに例えられるかもしれません。ゴミ箱を蹴ると数匹ばかり飛び出してきて散っていき、どこにでもいて、決していなくならない…そのほとんどは、ニュースで1度取り上げられたきり忘れ去られてしまいます。しかし、Carberp、Citadel、SpyEye、そしてZeusというトロイの木馬は、いつまでも消えることなく脅威となっているように思えます。

バンキング型トロイの木馬-title

これらを「銀行を狙う」(バンキング型)トロイの木馬と呼ぶのは多少語弊があります。というのも、お金に関する情報を盗むこと以外にも悪事を働いているからです。呼び方の問題はさておき、サイバー犯罪の怪しげな地下世界はすべてが謎に包まれていますが、こうした悪意のあるソフトウェアはどれも現実的な問題となっています。オンラインバンキング情報をはじめとする銀行関連情報を盗む能力が、とても優れているのです。

銀行を狙うトロイの木馬の挙動はどれも基本的には同じなので、個別に特徴を説明するのは少し難しいのですが、それでも、最もまん延している4種についてまとめてみました。知名度が低いものから順に紹介していきます。

Carberp

Carberpのオリジナルバージョンは、ちょっとした一般的なトロイの木馬でした。オンラインバンキングの認証情報や、価値の高いデータを扱うサイトのユーザー名とパスワードの組み合わせなど、ユーザーの重要データを盗むことを目的としていました。盗んだ情報は、Carberpの作成者が管理する指令サーバー(C&Cサーバー)に渡されます。単純明快な仕組みです。唯一手の込んだコンポーネントが複雑なルートキット機能で、自身の存在を感染先システムに気付かれないようにしていました。次世代のCarberpにはプラグインが追加され、感染先システムからマルウェア対策ソフトウェアを取り除くことや、別のマルウェアがあればそれを削除することができるようになっています。

さらに興味深いことに、Carberpの管理者は、盗んだデータを暗号化して、感染したマシンから自分たちのC&Cサーバーに送信するという機能を追加しました。研究者によるとCarberpは、静的な鍵ではなくランダムに生成される暗号鍵を使用する初のマルウェアです。

あるときCarberpは、非常に悪名高い「Blackhole Exploit Kit」と連携するようになり、感染数が大幅に増加しました。Carberpとその作成者にとっては何もかもがうまく運んでいました。さらに彼らはFacebook上にCarberpのモジュールを展開し、アカウントが一時的に凍結されたので必要情報を入力するように、とユーザーをだまして個人情報やお金を巻き上げようとしました。

研究者によるとCarberpは、静的な鍵ではなくランダムに生成される暗号鍵を使用する初のマルウェアです

それからは少し勢いが衰えています。Carberpを管理していた疑いで8人の男がロシア当局に逮捕されました。しかし、Carberpは死んだわけではありません。その後もCarberpを阻止する取り組みは続き、逮捕者も出ています。一時期はこのツールを導入しようとした犯罪者に40,000ドルで販売されていたこともありましたが、昨年ソースコードが公開されたため、十分なノウハウがあればほぼ誰でも利用できるようになりました。

Citadel

トロイの木馬Citadelは、金融マルウェアの王者、Zeusの亜種です。2011年にZeus のソースコードが流出してから、数多くのトロイの木馬が現れては消えていくなか、Citadelが登場しました。当初Citadelが注目を集めたのは、作成者がオープンソース開発モデルを採用するという斬新な試みを行ったためです。オープンソースでは、誰もがコードをレビューして改善する(より悪質にする)ことができます。

Citadelを管理する犯罪者グループ(複数あるかもしれません)は、世界中の顧客や協力者が参加するコミュニティを立ち上げました。このコミュニティはCitadelの新機能を提案し、ある種の犯罪ソーシャルネットワークの一環として、コードやモジュールの作成に寄与しています。とりわけ目を引く機能としては、構成ファイルやC&Cサーバーとの通信のAES暗号化、追跡サイトから逃れる機能、被害者のマシンからセキュリティサイトへのアクセスをブロックする能力、被害者の活動を録画できる機能などがあります。

Citadelの協力者のネットワークは、新しく動的な機能を次々と追加し、Citadelは適応能力を高めてさらに高速になり、あらゆる種類の認証情報の窃盗に利用される実用的なマルウェアになりました。

大きな成功を収めたCitadelですが、Microsoftと他の企業連合が立ち上げた掃討作戦によって、最終的にこの感染の約88%が無効にされています。

SpyEye

SpyEyeは、銀行を狙うトロイの木馬としてZeusに対抗し得る存在になるはずでした。しかし結局は、偉大なるバスケットボールプレーヤー、マイケル・ジョーダンの後継と言われた選手たちと同じような結果に終わります。大いに宣伝され、可能性はあったものの、Zeusを王座から引きずり下ろすことは叶いませんでした。絶対王者はZeusであり、SpyEyeはすぐに期待外れの烙印を押されてしまいます。

あるときSpyEyeのボットネットの一部がZeusのボットネットと統合され、銀行を襲う巨大なボットネットとなりましたが、騒がれていたほどの効果はあげられず、下火になっていきました。しかし、成功した点もあります。SpyEyeは、Verizonのオンライン請求ページを狙った攻撃に使用され、1週間以上気付かれずに、ユーザーの個人情報や金融情報を盗みました。また、AmazonのSimple Storage Serviceに侵入し、クラウドプロバイダーであるAmazonを攻撃の基点として利用しました。Androidデバイスで使用されたこともありますが、逮捕者が相次いだことから、Androidでは使われなくなりました。あまり効果がなかったことも原因かもしれません。

SpyEyeを使用して、高度に組織化された銀行情報の窃盗を実行したとして、2012年夏にバルト諸国の男が3人逮捕されました。今年5月には、SpyEyeの開発者とされる人物がタイで逮捕され、米国に送還されました。この男にはボットネットや銀行詐欺に関する容疑が30件以上かかっています。

それ以来、SpyEyeに関するニュースはあまり耳にしなくなりました。

Zeus

そしてZeusです。ギリシャの神々の王という名にふさわしく、規模、用途、効果において並ぶものはありません。2011年にソースコードが流出して以来、銀行を狙うトロイの木馬のほとんどに、Zeusの要素が組み込まれているように思えます。数あるトロイの木馬の中でも、専用のWikipediaページが作られたのはZeusだけです。Kaspersky LabのニュースサイトThreatpostで「Zeus」に言及した記事を検索すると、表示される結果は22ページ(1ページにつき10件の記事)にも及びます(本記事内のハイパーリンクもほとんどがThreatpostへのリンクです)。Zeusの悪行について小説を書こうと思えば、トルストイやプルーストの作品くらい長くなってしまうかもしれません。したがって、この脅威を短くまとめるというのは不可能に近いことではありますが、いくつか重要な点を強調してお伝えしようと思います。

2007年に突如現れたZeusは、米国運輸省を標的とした認証情報を盗むために使われていました。その後Zeusは何千万台というマシンに感染し、何億ドルものお金を盗みましたが、2011年にZeusの作成者が手を引いたと報じられ、ソースコードがオンラインで公開されました。Zeus関連の詐欺に関わったとして刑務所に送られた犯罪者は何百人にも及び、まだ服役中の者もいます。

ライセンス販売されたマルウェアはZeusが初めてでした。ソースコードが公開されるまで、銀行にも企業にも甚大な被害をもたらしています。Zeusの攻撃を受けた組織は無数にあり、とても書き切れませんが、著名な銀行、企業、政府機関も含まれています。

さらにZeusは、ZitMoというモバイル版の「弟」を巧みに利用することでも知られています。銀行では、テキストメッセージで提供されるセキュリティコードを使った2段階認証システムが広く使われていますが、ZitMoはこれを迂回します。モバイル版はSpyEyeやCarberpでも開発されました。

Zeusは銀行を狙うマルウェアだけでなく、あらゆるマルウェアの中でも極めて悪名高いものです。Zeusより有名なマルウェアがあるとすれば、Stuxnetくらいでしょう。

防御策

4大マルウェアには、基本的な性質があります。ウイルス対策製品による検知を逃れようとするほか、キー入力、ブラウザーデータ、保存されたファイルなど、ユーザーの銀行口座への侵入に役立つあらゆる情報を傍受し、不正な送金を開始します。また、スマートフォンにモバイルマルウェアをインストールしようとすることもあります。スマートフォンに感染すれば、銀行取引によく使われる一時セキュリティコードを盗むことが可能になります。マルウェアには数多くの種類がありますが、直接的な金銭被害をもたらしかねないのが「バンキング型」、つまり銀行を狙うタイプのトロイの木馬です。だからこそ、現代のプロテクションソフトウェアは、「銀行を狙う」トロイの木馬が備える機能にあらゆる側面で対処する専用の防衛手段を備えていなければなりません。Kaspersky Labは、こうした保護対策をネット決済保護技術に組み込みました。この機能はカスペルスキー マルチプラットフォーム セキュリティに実装されています。ネット決済保護を有効にする方法についてはこちらのヒント記事をご覧ください。