三菱東京UFJ銀行がテレビCMでフィッシングによる不正振り込みに注意を喚起し、自身のWebページでマルウェア対策ソフト「Rapport」の配布を開始した。サイバー攻撃は、国家機密から個人の情報・資産を標的とした攻撃に移行したといえる。今週はWindowsを取り巻くセキュリティに関するレポートをお送りしよう。
警視庁が発表したサイバー犯罪における、ネットバンキング不正送金被害額は、2013年で約14億600万円。2011年に比べ約4.6倍にまで増加した。この温床になっているのが「Zeus(ゼウス)」や「Zbot」と呼ばれるマルウェアだ。その存在は2007年ごろから日本国内でも問題視されていた。
Zbotに感染したPCでネットバンキングなどにアクセスすると、ポップアップウィンドウを開いて、入力したIDやパスワードを盗み取られる。米国ではMicrosoftがサイバー犯罪に対応する「Microsoft Cybercrime Center」を本社に設立し(関連記事)、2012年3月に、FBIと共同でサイバー犯罪集団の拠点に踏み込み、Zbotを駆除した(関連記事)。
そして2014年6月2日、「Microsoft helps FBI in GameOver Zeus botnet cleanup」というブログ記事を通じて二度目のボットネット駆除について発表した。タイトルを意訳すると「GameOver Zeusボットネットの駆除にMicrosoftはFBIに協力する」となる。GameOver Zeusは前述したZeusの亜種で、キーロガーが収集した情報をサーバーに保存する機能は同じだが、ネットバンキングサイトに対してDDoS(分散型サービス拒否攻撃)など、悪意のある機能を備えたそうだ。
トップは「Win32/Rotbrow」というトロイの木馬系マルウェアだが、最新情報では全体の0.45%もZbotに感染している(SIRv16より) |
GameOver Zeusには世界規模で50万から100万台のPCが感染し、損失は1億ドルを超えるという。MicrosoftはFBIと協力し、マルウェアが生成したドメインや、サイバー犯罪者が登録したドメインとリンクしているC&Cサーバー(マルウェアに感染してボット化したPC群「ボットネット」にコマンドを送信し、コントロールするサーバー)の一部を破壊し、各ドメインをFBIが差し押さえたという。
ただし、GameOver ZeusはP2P技術を用いてC&Cサーバーを分散させているため、完全なせん滅には至っていない。そこでMicrosoftは、P2Pネットワーク分析とクリーニング手法を開発し、感染済みPCのIPアドレスを、Windows Azure上の「C-TIP (Cyber Threat Intelligence Program)」で管理。各国のISPやCERT/CCのプライベートクラウドに直接アップロードし、感染情報を約30秒ごとに更新して情報共有を行うという。C-TIPはボットネット型マルウェア対策プロジェクトとして、2010年から始まった「MARS (Microsoft Active Response for Sercurity)」の後身にあたり、被害拡散を抑止する面では期待が持てるソリューションといえるだろう。