感染報告が相次ぐ「BREDOLAB」はどんな不正プログラム?

TrendLabs | ラボレポート

 今年初め、「BREDOLAB」が登場した時は、小規模な感染が確認された、目立たないダウンローダ(他の不正プログラムをダウンロードするために作成された不正プログラム)に過ぎませんでしたが、8月を境に急激に感染を拡大しました。日本でも依然として感染報告が相次いでいます。今回は、最近トレンドマイクロが行った調査を踏まえ、急速に感染が拡大した「BREDOLAB」攻撃の全体像や背景をご紹介します。

影響を受ける OS:Windows 98, ME, NT, 2000, XP, Server 2003

侵入経路 | 被害の全容 | 感染拡大の背景 | ユーザがさらされるリスクは

侵入経路:

 「BREDOLAB」は、複数の経路を用い、ユーザのコンピュータに侵入します。偽の請求書などを装ったスパムメールからの侵入が多く確認されています。その他にも、正規のフォーラムサイトなどに不正リンクを投稿したり、特定のキーワードでの検索結果を悪質に操作して(SEOポイズニング手法)不正リンクが上位に表示されるようにしたりして、ユーザにクリックを促し、コンピュータに侵入します。

TOP

被害の全容:

 「BREDOLAB」は、基本的に、他の不正プログラムをダウンロードすることを目的としています。このファミリには多くの亜種が確認されていますが、それらの亜種が共通して及ぼす被害は、以下の2つです。

  1. 「Antivirus Pro 2010」という名称で表示される偽セキュリティソフト

    この偽セキュリティソフトのGraphical User Interface(GUI)は精巧なため、正規のプログラムのように見えます。感染したコンピュータにインストールされると、偽の感染を警告し、架空のウイルスを削除するためにこのソフトを購入するようユーザに促します。偽セキュリティソフトの名称は、一定の期間ごとに変更される可能性があります。これは、検出を避けるための常套手段です。

    2. 図.偽セキュリティソフトのGUI
    図.偽セキュリティソフトのGUI
  2. ボットネット「Zeus」

     ボットネット「Zeus」は、複数のコンポーネントで構成されています。これらのコンポーネントは、トレンドマイクロでは「ZBOT」として検出されます。「Zeus」は、主に、監視活動および情報収集を目的としています。このボットネットは、通常、専属のIT担当者やセキュリティ専門家を持たない中小企業を標的とし、オンラインバンキング関連の個人情報やログイン情報を収集し、悪用します。このボットネットの活発な活動が継続しているため、「ZBOT」ファミリの不正プログラムは、現在最も危険な情報収集型の不正プログラムと認識されています。

TOP

感染拡大の背景:

 トレンドマイクロが行った「BREDOLAB」に関する詳細な調査によると、関連の攻撃に共通して用いられるサーバがロシアに置かれていること、および、ロシアのサイバー犯罪者が作成したダウンローダ「PUSHDO」に動作が非常に似ていることなどが明らかになっています。また、「BREDOLAB」がアクセスするコマンド&コントロール(C&C)サーバのソースコード内コメントがロシア語であることから、「BREDOLAB」を利用した一連の攻撃は、ロシアで行われていると考えられます。

 ロシアの地下経済は、成功報酬型のビジネスが広まっていることで知られています。つまり、不正プログラムの作成者/保有者やそれを配布するボットネットの首謀者が不正活動から利益を上げるたびに(ユーザが被害に遭うたびに)、その活動に加担したグループが利益を分配するしくみです。「BREDOLAB」が偽セキュリティソフト型「FAKEAV」を配布することにより、偽ソフト販売ビジネスが成功して、加担グループに十分な利益をもたらし、それが感染拡大の要因になっているとトレンドマイクロは考えています。また、「BREDOLAB」は「ZBOT」も配布するため、「BREDOLAB」の作成者と「ZBOT/Zeus」の首謀者は、同一のサイバー犯罪組織に属することが推測できます。

TOP

「BREDOLAB」によりユーザがさらされるリスクは:

 偽セキュリティソフトが感染コンピュータに侵入することにより、ユーザは、偽ソフトの購入金ばかりか、クレジットカード情報を含む個人情報を失う恐れがあります。これらの個人情報は、地下マーケットに売り出され、他の不正活動に悪用される可能性があります。また、ボットネット「Zeus」関連の不正プログラム「ZBOT」への感染により、ユーザのコンピュータが監視され、オンラインバンキング関連の個人情報およびログイン情報が収集される恐れもあります。これらの情報も他の不正活動で悪用され、ユーザにさらに被害をもたらすことが懸念されます。

  • トレンドマイクロの「BREDOLAB」に関する白書はこちらから(英語)
  • 「BREDOLAB」の攻撃事例に関するレポートはこちらから

 Trend Micro Smart Protection Network(SPN)は、「Web レピュテーション」技術、「ファイルレピュテーション」技術、および「E-mail レピュテー ション」技術を相互に関連させて、トータルな防御を可能にします。これにより、SPNのユーザは、常に最新の攻撃から守られています。特に「BREDOLAB」のようなWebからの脅威には非常に効果的です。トレンドマイクロ製品をご利用でない場合、無料サービス「オンラインスキャン」でコンピュータをスキャンすることをお勧めします。

TOP

執筆者:澄田 明子

Technical Communications Specialist
TrendLabs
Trend Micro Incorporated

 2008年にトレンドマイクロに入社。現在、トレンドラボにてマルウェア解析情報、コアテクノロジー関連のマーケティングコンテンツ作成に従事。

TOP

Related posts:

  1. 半年間で2億円を荒稼ぎ! 銀行口座を狙う「SPYEYE」
  2. 「KINS」は次なるオンライン銀行詐欺ツール「ZBOT」か
  3. 匿名通信システム「Tor」への接続ユーザ数急増の要因を究明する
  4. 「ZBOT」やその他の情報収集型不正プログラムにも利用されるプログラミング言語「AutoIt」