RSAセキュリティは11月30日、オンライン詐欺対策に関する記者説明会を開催し、世界中の金融機関に対し大規模な攻撃を繰り広げてきたトロイの木馬「Zeus」の最新情報について紹介した。最新版のZeusではボットネットを保護するために高度な機能が追加されている。

マーケティング統括本部 シニアマーケティングマネジャーの水村明博氏は、Zeusの新たな動きとして、「今月Zeusの開発者が事業を放棄し、別な有力なトロイの木馬であるSpyEyeの作者にソースコードが引き継がれたという情報が公開された。今後はZeusとSpyEyeの融合が進められていくと予想される」と説明した。

同氏によると、SpyEyeは今年に入って有名になったZeusの後発のトロイの木馬で、Zeusに感染したPCを乗っ取るため"Zeusキラー"と呼ばれているという。SpyEyeは日本の金融機関もターゲットとしていたことがわかっているそうだ。こうした2つの強力なトロイの木馬が合体するというのだから、実に恐ろしい。

この"事業移譲"が行われる前に、Zeusの最新版であるバージョン2.1が登場した。「Zeusの2.1では、画期的とも言うべき機能拡張が行われている」と同氏。

フィッシング詐欺ではボットネットというマルウェアに感染したPCから構成されるネットワークが用いられるが、最近では、このボットネットが乗っ取られるということが起こりつつある。

敵対する犯罪者は偽の設定ファイルを送り込んでデータの転送先を奪取し、セキュリティベンダーはリバースエンジニアリングによってボットプログラムを停止させ、捜査当局は偽の設定ファイルによってボットネット自体を解体に追い込んでいるという。

敵対する犯罪者、セキュリティベンダー、捜査当局に乗っ取られるボットネット

Zeus 2.1はこうした"妨害行為"に対抗するため、2つの機能を装備している。その1つが「デジタル証明書」だ。ボットに感染したトロイの木馬を制御する「C&Cサーバ」とボット間の通信を保護して、C&Cサーバの場所やアクセス方法を秘匿するために、デジタル証明書は使われる。

さらに、ボットネットおいてダウンロードされるファイルやデータはデジタル署名が付与され、ダウンロードする設定ファイルは暗号化されるという念の入りようだ。同氏によると、デジタル署名はSHA-1を用いたデータのハッシュ値を鍵長が2048ビットのRSA暗号で暗号化されており、これを復号するのは至難の業だそうだ。

Zeus 2.1のもう1つの新機能は「リソースの符号化」だ。これは、「設定ファイルを復号する秘密鍵」、「C&CサーバのURL」、「トロイの木馬を活性化させるトリガーとなるURLのリスト」といった情報をエンコードするというもの。

すべてのリソースが単一のプロセスで保護されており、使い終わったら即座に消去される仕組みとなっているため、リバースエンジニアリングを行うことが難しくなっている。

ボットネットを保護する機能が追加されたZeus 2.

しかし、同社のオンライン不正対策指令センターでは独自のアプローチによって、Zeus 2.1から盗まれたログイン情報を回収することに成功した。その結果、「日本のユーザーが所有していると思われるPCがZeus 2.1に感染しているとことがわかった」と同氏。

また最近は、トロイの木馬のターゲットのURLに日本の金融機関が含まれているケースが増えているそうだ。

同社では今後もZeus 2.1をはじめとするトロイの木馬について調査を続けていくそうなので、新たな情報が入ったらお届けしたい。