2010年を振り返る - 4)あの手この手で「情報収集」を企むサイバー犯罪者たち

情報収集を目的とする不正プログラムは、このシリーズ第1回「注目すべき不正プログラム『Top10』」の上位にランク付けされているように、2010年に深刻な脅威を与えた不正プログラムの1つとなっています。そしてこの不正プログラムによる脅威は、2011年も続くことが予想されますが、トレンドマイクロはこの脅威に関する3つの大きな変化を2010年に確認しました。

■「ZBOT」の改良版が登場!

2010年前半、情報収集型不正プログラム「ZBOT」の改良版として新型の ZBOT が登場しました。ツールキット「ZeuS」の新バージョン「ZeuS 2.0」により作成されたこの改良版には、既に悪名高い従来の ZBOTファミリと比べ、機能の面で大きな改良が加わっています。

この改良版ZBOT は、実際の情報収集機能の面においては、さほど大きな変更はなされていません。従来の ZBOT との違いは、Windows Vista や Windows 7 といった新しい Windows OS のバージョンや、Internet Explorer(IE)に代わるブラウザとして人気の “Mozilla Firefox” などに標準で対応している点です。これは、ツールキットの改良によるもので、以前のバージョンには追加機能としてしか備わっていなかった Windows Vista や Windows 7、Mozilla Firefox などへの対応が、新バージョンには標準で備わっています。

改良版ZBOT における大きな変更点としては、より巧妙な隠ぺいの機能が備わった点が挙げられます。これまでの亜種は、亜種ごとに多少異なっていたものの、利用するファイル名やフォルダ名は決まっていました。それに対し、改良版ZBOT は、ランダムなファイル名やフォルダ名を用います。同様に、Mutex にもランダムに生成された GUID(全世界において固有の識別子)を用います。これらの新たな機能により、不正活動がユーザに気付かれにくくなったのに加え、1台のコンピュータに複数の ZBOT の亜種が感染することも可能になりました。1台のコンピュータに複数の ZBOT が感染することは、これまでの亜種では確認されなかったことです。また、改良版ZBOT では、暗号化機能が強化されています。

このように機能が大幅に改良されたため、新亜種が登場した当初は検出が困難であったばかりでなく、関連する脅威情報の収集も困難だったようです。しかしその後のセキュリティ業界での研究により、巧妙化した改良版ZBOT への対応方法が改善されています。

改良版ZBOT については、以下のブログ記事(英語情報のみ)をご参照ください。

■新たな手口を確認

トレンドマイクロは、2010年10月、情報収集型不正プログラム「ZBOT」に新たな手口を備えた亜種を確認しました。この新亜種は「TSPY_ZBOT.BYZ」として検出され、これまでのZBOTと同様の情報収集機能に加え、特別の機能が備わっています。「TSPY_ZBOT.BYZ」は、コンピュータに侵入後、メモリ上でコードを復号し実行します(「PE_LICAT.A-O」として検出)。この「PE_LICAT.A-O」は、実行ファイルに感染し、こうして感染した実行ファイルは、「PE_LICAT.A」として検出されるダウンローダに変更されてしまうのです。このような機能は、これまでの ZBOT では通常確認されませんでした。「PE_LICAT.A」は、「Domain Generation Algorithm(DGA)」と呼ばれる接続先ドメイン名生成の仕組みを用いてドメイン名を生成し、そこから「TSPY_ZBOT」の亜種や他の不正なファイルをダウンロードします。

この DGA の仕組みは、多くの被害をもたらしたワーム「WORM_DOWNAD(ダウンアド)」(別名:Conficker)が用いていたことから、同様の手口を駆使した「TSPY_ZBOT.BYZ」による攻撃は、さらに危険性を増したといえます。「TSPY_ZBOT.BYZ」についての詳しい解析結果については、以下のホワイトペーパー(英語情報のみ)をご参照ください。

トレンドマイクロでは、ZBOT関連の攻撃で DGA が用いられた最初の事例を「TSPY_ZBOT.BYZ」で確認していますが、この仕組みは別の ZBOT に関連した攻撃でも用いられているようです。このことから、一部のサイバー犯罪組織は、DGA を既に ZBOT 関連の攻撃における「標準的な手口」としていることがうかがえます。

■ツールキット「ZeuS」のライバル「SpyEye」登場、そして合併か?

ツールキット「ZeuS」が 2010年も猛威を振るったことによって、「ZeuS」に対抗する新勢力の台頭も促したようです。ツールキット「ZeuS」の価格は、拡張機能の付いていない基本的なパッケージのみで、最高 8000米ドルにも上りました。拡張モジュールや拡張機能が付いた場合の価格は、実に最高 2万米ドルにまで達しています。安易に金儲けを企むサイバー犯罪者は、このようなツールキット「ZeuS」のビジネスモデルに着目。この結果、2010年はより多くのツールキットが登場することとなりました。その中で真っ先に挙げられるのがツールキット「SpyEye」です。

図1:「SpyEye」のメインインターフェース
図1:「SpyEye」のメインインターフェース
図2:「SpyEye」のコンソール
図2:「SpyEye」のコンソール

ツールキット「SpyEye」は 2009年から存在が確認されています。トレンドマイクロで関連の亜種を初めて確認したのは、2010年2月。この亜種は、ツールキット「ZeuS」により作成される不正プログラム「ZBOT」関連のプロセスを強制終了する、いわば「ライバルを抹殺する」機能を備えていることから注目されました。ツールキット「SpyEye」は、これまでも、そして現在も、ツールキット「ZeuS」より安価な値段で手に入れることができます。基本のパッケージは 1000米ドル、拡張機能が付いても 2500米ドルと、ツールキット「ZeuS」よりはるかに安値で取引されています。

さらなる調査により、ツールキット「SpyEye」は、さまざまな種類のボット操作用コントロールパネルを備えていることが明らかになりました。詳細については、以下のブログ記事(英語情報のみ)をご参照ください。

そして、最終的には、ツールキット「SpyEye」がこの「戦い」を制することになったようです。2010年10月1日、米連邦捜査局(FBI)がウクライナや英国などの捜査当局と連帯し展開した「Operation Trident Breach」により国際サイバー犯罪集団が摘発され、この集団の首謀者を含む多数の容疑者が逮捕されたのです。このサイバー犯罪集団は、ツールキット「ZeuS」で作成した ZBOT を駆使しユーザのアカウント情報を盗み、これらの情報を用いて不正な銀行取引を行っていました。

この数週間後に、「Slavik」または「Monstr」という名で知られるツールキット「ZeuS」の作成者が、このツールキットに関する全てのソースコードを「Gribodemon」または「Harderman」として知られるツールキット「SpyEye」の作成者に譲る意思を表明したのですが、この「引退発表」は偶然になされたものではなく、前述の逮捕と何らかの関係があるのではないかと見られています。しかし、ツールキット「ZeuS」とツールキット「SpyEye」の合併は発表されたものの、まだ実現はされていないようです。「実際のところ、Slavik は、もうかる話があれば今後も不正プログラムを作成し続けるのではないか」との憶測も飛び交っています。

◆ ◆ ◆ ◆ ◆

これら2010年の大きな変化を振り返ってみると、トレンドマイクロの2011年脅威予測の内容が明確になってくるのではないでしょうか。不正プログラムによる攻撃の手口は、ますます巧妙さを増しています。特に、ユーザに気付かれないよう身を隠し、かつ、活動の証拠を残さないようにする情報収集型不正プログラムでその傾向が強くなっています。このような不正プログラムから身を守るためには、総合的なセキュリティソフトを導入するなどして十分な対策を講じる必要があります。

参考記事:
2010 in Review: New and Better Ways of Stealing Information
 by Kevin Stevens and Loucif Kharouni (Senior Threat Researchers)

 翻訳・編集:橋元 紀美加(Core Technology Marketing, TrendLabs)