オンライン銀行詐欺ツール「ZBOT」:スパムメール経由でもっとも拡散した不正プログラム(2013年8月)

トレンドマイクロは、「2013年第 2四半期セキュリティラウンドアップ」のなかで、この第 2四半期においてオンライン銀行詐欺ツールが再び台頭し、特に「ZBOT」が増加したことを言及しました。「ZBOT」はこれまで幾度も確認されてきましたが、「ZBOT」のまん延は、「ZBOT」が今もなおエンドユーザに対して大きな脅威であることを示しています。

今回、2013年8月のスパムメールの脅威状況を振り返りました。この期間弊社が確認した不正なファイルが添付されたスパムメールのうち、23% は「ZBOT」に誘導するもので、一方、19% は「FAREIT」に誘導しました。

「ZBOT」は、スパムボット関連の IP アドレス経由でもっとも拡散された不正プログラムであるという特質を備えています。また、Eメールを介して自身や他の不正プログラムを拡散するさまざまなワームとも関連があります。「ZBOT」に感染した PCは、「WORM_MYDOOM」や「WORM_VB」、「WORM_BAGLE」といった約 5種類のワームのいずれかにも感染している恐れがあります。

図1:スパムメールによって拡散した不正プログラムファミリ
図1:スパムメールによって拡散した不正プログラムファミリ

他のスパムメールと比較すると、「ZBOT」や「FAREIT」をもたらすスパムメールの多くは、有名なブランドや企業から送られてきたように装い、正規の Eメールのように見られます。

図2:「FAREIT」関連のスパムメールの例
図2:「FAREIT」関連のスパムメールの例

図3:「ZBOT」関連のスパムメールの例
図3:「ZBOT」関連のスパムメールの例

「ZBOT」は、インストールされると、特定のオンライン銀行サイトの閲覧に関連するインターネット活動を監視することで知られています。ユーザがこのようなWebサイトを閲覧し、認証情報を用いてログインしようとする場合、「ZBOT」は、追加の欄を挿入しユーザに情報を入力させ、そしてこれらの情報を収集します。そしてサイバー犯罪者たちは、収集した情報を利用し、不正な取引を行ったり、アンダーグラウンド市場で販売したりといったことが可能になります。

「FAREIT」も「ZBOT」同様に情報収集型の不正プログラムであり、Eメールや FTP クライアントのログイン認証情報を収集します。また「FAREIT」は、「ZBOT」を含む他の不正プログラムをダウンロードする機能も備えています。なお「TrendLabs(トレンドラボ)」は、2013年8月に、英国の税金還付を装ったスパムメールによってもたらされる「FAREIT」の亜種が、さらに「ZBOT」をダウンロードするといった事例を確認しました。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、本ブログ記事で言及している不正プログラムを検出し、削除します。エンドユーザにとって、正規のメールと、特にソーシャルエンジニアリングの手法として著名なブランドを悪用するようなスパムメールとを識別する方法を知ることは重要です。また送信元が不明なメールに添付されているファイルには注意する、といった PC を安全に使用するための実践は、PC や情報の保護という観点からみると、有効であると言えます。

参考記事:

  • ZeuS/ZBOT: Most Distributed Malware by Spam in August
     by Merianne Polintan (Anti-spam Research Engineer)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)