‹ Cybersecurity 101に戻る

トロイの木馬マルウェアZeus
その定義と防御

Kurt Baker - 11月 8, 2023

Zeusマルウェア攻撃(別名Zbot)は、2007年にインターネットに展開されて以来、大きな成功を収めたトロイの木馬ウィルスです。現在でも、トロイの木馬Zeusとその亜種は、重大なサイバーセキュリティ脅威であり、Microsoft Windowsを実行している多くのコンピューターが依然としてリスクにさらされています。Zeusウィルスの一部の亜種はファイルレスマルウェアであるため、アンチウィルスソフトウェアでも検知が困難です。

Zeusマルウェアにより、攻撃者は、感染したマシンへのフルアクセス権を得ることができます。Zeusの最初の亜種は、マンインザブラウザ(Man-In-The-Browser:MITB)キーロガーを主に利用して、感染したコンピューター上の銀行の認証情報やその他の金融情報にアクセスしていましたが、さまざまな形態のZeusウィルスを使用して、CryptoLockerランサムウェアをオペレーティングシステムに追加したり、感染したコンピューターをボットネットに追加したりして、分散型サービス拒否(DDos)攻撃を実行することもできます。

Zeusマルウェアとは

トロイの木馬Zeusウィルスは、2007年に初めて作成され、東欧のハッカーが米国運輸省を狙って使用しました。作成者は不明ですが、2011年に悪意のあるコードが公開されたことで実際に攻撃が始まりました。それ以来、数多くの亜種が生まれ、インターネットセキュリティの専門家や法執行機関は対応に追われています。

Windowsコンピューターをトロイの木馬Zeusのマルウェア攻撃にさらす一般的な攻撃ベクトルが2つあります。ドライブバイダウンロードでは、ユーザーがバックドア型トロイの木馬コードを含むウェブサイトにアクセスする必要があります。すると、ユーザーの知らぬ間にコンピューターにファイルがダウンロードされます。Google Chromeなどの最新のブラウザでは、通常、こうしたダウンロードやファイルが見つかったサイトはブロックされますが、ハッカーは絶えず新しい対抗策を実装しています。一方、Internet Explorerなどの旧式のウェブブラウザでは、ドライブバイダウンロードをブロックできません。Zeusのそれ以外の主な感染モードは、フィッシング攻撃によるもので、ユーザーは、フィッシングメール内やソーシャルメディアの投稿のリンクから良性のソフトウェアをダウンロードしていると思っています。

トロイの木馬Zeusウィルスの2つの主な目的は、金融情報を盗むことと、マシンをボットネットに追加することです。多くのマルウェアタイプとは異なり、Zeusのほとんどの亜種は、感染したデバイスに長期にわたって損害を与えようとはしません。これは、アンチウィルスソフトウェアに検知されないようにするためです。マルウェアの活動期間が長いほど、ハッカーは、金融機関から貴重な情報を手に入れる可能性が高くなります。

Zeusボットネットに取り込まれるコンピューター数に制限はありません。2014年にFBIと米国司法省は、世界中で最大100万台のコンピューターがZeusのGameover亜種に感染していると推定しました。

Zeusマルウェアの種類とユースケース

Zeusウィルスは汎用性が高く、知らぬ間に被害を広げます。Zeusの公開ソースコードは、悪意のあるアクターがそれぞれのニーズに合わせて簡単にカスタマイズできます。最も一般的なZeusの亜種は、以下のとおりです。

  • Gameover Zeus:最も危険なZeusの亜種です。攻撃者は、Gameover Zeusマルウェアを展開し、Microsoft Windowsを実行しているコンピューターに壊滅的なランサムウェア攻撃を仕掛けることができます。
  • SpyEye:このバンキングマルウェアは、Zeusマルウェアと同様に動作します。実際、これらのプログラムは互いに密接に関連しています。
  • Ice IX:Zeusウィルスの流出後、そのソースコードに基づいた最初のボットネットがIce IXシステムでした。Ice IXは不正なフォームを使用して、銀行の認証情報などの財務情報を盗みます。
  • Carberp:このバンキング型トロイの木馬は、Windows XPやWindows 7などの古いWindowsバージョンに影響を与えます。この金融系トロイの木馬とZeusのコードベースを組み合わせることで、「Zberp」と呼ばれるマルウェが作成されました。
  • Shylock:このマルウェアは、マンインザブラウザ攻撃を使用して感染させ、銀行口座情報も盗み出します。

強力なエンドポイントセキュリティを実装し、アンチウィルスソフトウェアを最新の状態に保つことが、Zeusとその多数の亜種から身を守るのに最適な2つの方法です。

コンピューターがトロイの木馬Zeusに感染している場合は、次のようないくつかの兆候が見られます。

  • デバイスの処理速度が突然遅くなる
  • オンラインバンキングポータルで通常とは異なる取引が行われる
  • オペレーティングシステムで不明なプログラウが実行される
  • コンピューターが突然過熱し始める

Zeusウィルスのリスク

リスクが十分に確立されていても、それが脅威ではなくなったというわけではありません。例えば、バッファオーバーフローは、ほぼ40年間にわたって悪用されており、サイバーセキュリティを優先していないサーバーやシステムを壊滅させることができます。

テクノロジーが進化するにつれて、悪意のあるアクターがそのテクノロジーにアクセスするための手法も進化しています。さらに、社会のインフラストラクチャはさらにデジタル化が進んでいます。このため、危険度がさらに高まるだけです。

2014年にFBIがGameover Zeusの取り締りを行ったとき、最大100万台のコンピューターがすでに感染しており、その25%は米国内にあると推定しました。その結果、被害総額は1億ドルを超えています。Zeusの感染による最も差し迫ったリスクは、銀行の認証情報が侵害されることによる経済的損失です。攻撃者にとっては、資金が豊富な企業が見つかれば、そのほうが好都合です。

トロイの木馬Zeusの他の主なリスクについては、微妙なところです。このウィルスとその亜種は、数か月かそれ以上にわたり検知されずにコンピューター上に存在し、ボットネットでマシンが必要になった場合にのみアクティブ化されます。他の多くの種類のボットネットとは異なり、法執行機関がシャットダウンできる集中管理されたコマンドコンピューターはなく、任意のコンピューターからいつでもコマンドを送信できます。

Sidoh流出ツールと同様に、Zeusがシステムで未検出のまま実行される期間が長いほど、被害が大きくなると考えられます。感染したコンピューターでは、ユーザーのキーストロークが記録され、攻撃者に送信されるか、または一般的なソーシャルメディアネットワークの偽のログインページが生成され、ログイン認証情報が収集され販売される恐れがあります。また、個人、企業、政府に対するDDoS攻撃が構成される場合があります。ただし、ボットネットで必要になるまで潜伏しているだけの場合もあります。

いずれの場合でも、規模の大小に関わらず、企業はそのサイバーセキュリティに積極的に取り組む必要があります。例えば、ユーザーがログインできるサイトでは、二要素認証やエンドポイントセキュリティ対策などのセキュリティ対策を実装できます。

Zeusマルウェア攻撃の防御

インターネット上の多くの脅威と同様に、Zeusマルウェア攻撃を防ぐための最適な方法は、多面的なアプローチを採用することです。マルウェア対策ツールだけで十分とは思わないでください。会社が監視しているすべてのマシンでソフトウェアが最新の状態に保たれ、適切に実行されていることを確認してください。

あらゆる形態のマルウェア、ランサムウェア、その他のエクスプロイトから身を守るためのもう1つの重大な要素は、人的要因です。すべての従業員がフィッシング攻撃やスパムを特定できるようにトレーニングし、何らかの悪意のあるアクションが発生したと思われる場合に報告するシステムを導入します。同様に、企業のデバイスに対するしっかりとした利用規定と統一したエンドポイント管理をセットアップする必要があります。

幸いなことに、トロイの木馬Zeusのソースコードは、2011年から公開されています。つまり、悪意のあるアクターだけでなく良心的なアクターも多くのことを学び、教訓を得ているということです。特に、FBIによる2014年のGameover Zeusに対する取り締まり以降、セキュリティ専門家はこうした教訓を活かすことに懸命に取り組んでいます。

Zeusは主に金融情報とログイン認証情報を標的にしていますが、Gameover Zeusが実行するようなボットネットは、特に標的を定めていません。誰でも油断すると、ドライブバイダウンロードの被害者になる恐れがあります。将来、Zeusによる問題を防ぐために実装できるベストプラクティスには、以下のようなものがあります。

  • 優れたサイバーハイジーンの実施には、あらゆる侵害を防御することが重要です。セキュリティソフトウェア、ブラウザ、ファイアウォールを最新の状態に保ってください。
  • フィッシングメールの疑いがある場合は、メールのリンクをクリックしないでください。
  • 信頼できるソースからのアンチウィルスプログラムを使用して、少なくとも月に1回はウィルス定義を更新してください。
  • セキュリティニュースで最新情報を入手し、古いコードに基づく新しい脅威に対して注意を怠らないようにしてください。
  • ITスタッフだけでなく、チーム全体でこれらのベストプラクティスについてトレーニングを実施してください。

ほとんどの形態のマルウェアと同様に、Zeus攻撃(またはその他のバンキング型トロイの木馬)を防ぐ鍵は、先進技術と人的労力の組み合わせです。サイバーセキュリティでは、全員が役割を担っているので、専門的なパートナーの協力を得ることは、最善策の1つです。

クラウドストライクでZeusマルウェアを防ぐ方法

悪意のあるソフトウェアの作者と、その攻撃からコンピューター、サーバー、ネットワークを守る担当者の間には、終わることのない駆け引きがあります。基本的に、情報セキュリティは1人仕事で済むわけではありません。真のセキュリティを実践するには、全世界の研究と知識が必要です。そこでクラウドストライクの専門家チームの出番になります。

CrowdStrike Falcon®プラットフォームは、単一の軽量エージェントを介してクラウドネイティブな次世代エンドポイント保護を実現し、一連の補完的な防御方法および検知方法を提供します。詳細については、当社にお問い合わせいただき、デモをスケジュールするか、試用の登録をしてください。

GET TO KNOW THE AUTHOR

カート・ベーカー(Kurt Baker)は、クラウドストライクのFalcon Intelligenceの製品マーケティング担当シニアディレクターです。同氏は、新興ソフトウェア企業を専門とする上級管理職で25年以上の経験があります。サイバー脅威インテリジェンス、セキュリティ分析、セキュリティ管理、高度な脅威保護に関する専門知識があります。クラウドストライクに入社する前は、Tripwireで技術的な役割を果たし、エンタープライズセキュリティソリューションからモバイルデバイスに至るまでの市場でスタートアップを共同設立したことがあります。ワシントン大学で文学士号を取得し、現在はマサチューセッツ州ボストンで活動しています。

Featured Articles

Featured Image
クリプトマルウェアとは
Featured Image
マルウェアとは
Featured Image
トロイの木馬とは