Zeus Trojan (Zbot) とは？その仕組みと対策

Zeusは2007年に初めて発見されましたが、作者のEvgeniy Bogachev（通称Slavic）は2005年にこのマルウェアを作成したと考えられています。当初は、ターゲットマシン上でキーロガーを実行し、銀行情報を盗むように設計されていました。しかし、SlavicはWebスクリプトを注入する機能と、Zeusに感染したすべてのマシン間でボットネット機能を実現するためのピアツーピア通信を追加しました。

2010年、Slavicは引退を表明し、Zeusのコードをマルウェアの競合他社であるSpyEyeに売却する意向を示しました。SpyEyeは、ターゲットマシンからZeusを積極的に無効化して削除し、独自のコードをインストールするものでした。Slavicが引退した直後、コードベースが公開され、いくつかのハッキンググループが独自のバージョンのZeusを作成しました。Zeusは数百万台のマシンに感染し、Slavicだけがコードを更新しピアツーピアネットワークにアクセスするための秘密鍵を持っていたため、研究者はSlavicが実際には引退していなかったと考えるようになりました。

現在、Zeus Trojanの人気のある亜種は、GameOver Zeusです。GameOver Zeus には、ランサムウェアを含むピアツーピア通信ネットワークなど、Zeusのバックボーンが含まれています。ランサムウェアは、マルウェアが銀行情報を盗むことができない場合、フェイルセーフとして機能します。研究者はGameOver Zeusの通信と効果的な作業を短期間停止させましたが、作者は研究者の制御を回避するためにコードを変更しました。

Zeusは主にクライムウェアであるため、その主な機能は標的となるユーザーの銀行情報を盗み出すことです。Webインジェクションコンポーネントは、ユーザーの銀行情報を盗むための機能の多くを実行しますが、ボットネットとピアツーピア通信がZeusの特徴です。また、ZeusはC＆Cサーバを検出から防御するために使用されるプロキシ機能を備えています。

当初、すべてのピアツーピアネットワークは、それぞれの所有者によって管理された独自のバックボーンを備えていました。研究者は、このボットネットは重要なインフラを検知から守るために使われていたと考えており、数年間は機能していたようです。Slavicは複数のサイバー犯罪者と提携していたため、グループ内の誰もが自身のボットネットを制御することができました。しかし、Slavicはすべてのバックエンドインフラに独占的にアクセスすることができました。Slavicはピアツーピアネットワークにアクセスし、ソフトウェアのアップグレード、データの取得、または単に活動の盗聴を行うことができました。たとえサイバー犯罪者グループがネットワーク全体を所有していたとしても、SlavicはZeusを完全に制御することができました。

標的となるユーザーのコンピュータがランサムウェアのGameOver Zeusの影響を受けると、コンピュータは動作不能になる可能性が高くなります。ランサムウェアが企業への恐喝に有効な理由の1つは、そのスキャン能力です。ランサムウェアは、通常ネットワーク上のサーバを含むマップされたドライブをスキャンします。環境中のファイルは不可逆的に暗号化されるため、重要なアプリケーションを実行しているサーバを含め、ランサムウェアに脆弱なコンピュータは動作不能に陥ります。サーバやワークステーションが再起動すると、クラッシュしたり、ユーザがアクセスできなくなる可能性があります。多くの場合、管理者がこの種の攻撃から復旧するためには、サーバーの再イメージ化、つまりオペレーティングシステムのクリーンインストールとバックアップからの暗号化ファイルの復元を行うしかありません。災害復旧にかかる時間は、企業が機能していない時間であり、多くの場合深刻な収益損失をもたらします。

Zeusには公式な標的がありません。企業を狙うマルウェアは、生産性を阻害したり、通常数百万ドルの金銭を強要したりするために作られます。Zeusの目的は、銀行の認証情報を盗み、攻撃者が個人や企業から金銭を窃取できるようにすることです。特定のボットネットをコントロールする攻撃者は、特定の企業を標的にするかもしれませんが、このマルウェアは、サーバ、Androidデバイス、Windowsワークステーションで動作するように構築されています。

Zeusは、Windows専用のトロイの木馬にAndroidデバイスを追加し、企業や個人の標的に政府機関を追加することで、被害者の範囲を広げています。ZeusのC＆Cコンポーネントは、攻撃者にローカルマシンのデータへのアクセスを可能にするため、政府機関は、ワークステーションのいずれかがZeusマルウェアに感染すると、企業秘密や機密情報を失う危険性があります。

Zeusマルウェアとボットネットは、すでにいくつかの著名な政府機関や民間企業からデータを窃取しています。攻撃者はZeusを使って、NASA、アメリカ合衆国運輸省（DOT）、Bank of America、Amazon、Oracle、ABC、およびCiscoからデータを盗み出しました。

個人および組織は、Zeusが自分のマシンにインストールされるのを阻止し、防止するためにいくつかの措置を講じることができます。最初のステップは、フィッシングメールを識別するための従業員教育です。これはセキュリティ意識向上トレーニングプログラムを展開することで実現できます。Zeusのほとんどのインストールは、フィッシングメールから始まります。フィッシングメールには、Zeusをダウンロードするスクリプトや、ユーザーがブラウザでZeusをダウンロードできるリンクが含まれています。

マルウェア対策ソフトやウイルス対策ソフトを常に更新し、最新の攻撃を検知・阻止できるようにしましょう。ウイルス対策ソフトウェアに完全に依存してはいけませんが、Zeusを含む一般的な脅威の多くを阻止するのに役立ちます。アップデートすることで、ウイルス対策ソフトウェアが最新の亜種を確実に識別できるようになります。

Zeusは、ブラウザやパスワードマネージャーに保存されたパスワードを盗みます。パスワードをマシンに保存しないでください。パスワードマネージャーを使用している場合、パスワードマネージャーにアクセスするための秘密鍵を保存しないでください。

従業員は、海賊版ソフトウェアを決してダウンロードしてはいけません。海賊版ソフトウェアには、正規のソフトウェアをインストールする際にインストールされるマルウェアが隠されていることがよくあります。ソフトウェアは常に正規のソースからダウンロードし、ライセンス版のみを使用するようにしましょう。

組織は、Zeusやその他の亜種を阻止するために、企業レベルのリスク管理とマルウェア対策戦略を持つ必要があります。Proofpointは、管理者がZeus、ランサムウェア、ボットネットマルウェア、その他ビジネスに害を及ぼす可能性のあるアプリケーションを阻止するための戦略およびサイバーセキュリティインフラを構築できるよう支援しています。