「Zeus」の名称で知られるボットネット(感染コンピュータによるネットワーク)の背後にも常にそれを利用するサイバー犯罪者たちが存在する。彼らの手による業務用コンピュータへの被害は、最近急増した「Money-Mule」、つまり「運び屋」(意図するしないに関わらず犯罪者の送金に加担するユーザー)の影響もあり、ここ数カ月だけで数千台に及んだ。実際、2009年だけをみても、このボットネット関連の不正プログラム「ZBOT」の感染件数は、企業数で2500社、コンピュータ数としては約7万4000台にも達し、その主な被害は、ユーザーのログイン情報の収集だった。

 セキュリティ・ジャーナリストのブライアン・クレブス氏は、最近のZeusボットネット関連の攻撃として、米国ニューハンプシャー州に拠点を置くITコンサルタント会社を標的にした事例を報じている。この攻撃で同社には10万米ドルもの損失が発生た。その際に不正送金に加担した共謀者(運び屋)は、全米中で10人に及んだという。

 さらに深刻な事例として、ニューヨークのマーケティング会社を標的にした攻撃がある。この攻撃は、同社に16万4000米ドルもの損失をもたらし、会社を倒産寸前にまで追い込んだという。この場合も、被害金額は、ある個人ユーザーの不正の電子送金により個人口座および法人口座にそれぞれ2口ずつ振り込まれたのだが、送金にかかわった中で同社に直接関係のある者は誰もいなかったと言われている。

サイバー犯罪者に利用される「運び屋」

 「Money-Mule」詐欺とは、オンライン詐欺の手口の一つであり、不正に得た金銭や高級品を「運び屋」を利用して国外へ内密に移動させる行為が伴うものをいう。この場合、被害者が住む「国内」から詐欺者が住む「国外」へと移動させる点が特徴である。

 米国の連邦預金保険公社(FDIC)によると、運び屋は、全く意図せず知らない間に犯罪に加担してしまうユーザーである場合と、むしろ意図的に犯罪に加担する共犯者の場合があるという。実際サイバー犯罪者たちが、何も知らないユーザーたちを募って運び屋に仕立て上げてしまう手段については、以下のようにいくつかの方法があるようだ。

  • 在宅勤務希望者を標的にして(偽の)求人サイトを立ち上げ、運び屋の候補を募る。
  • 「金融仲介を行えれば多額の報酬金がもらえるともちかけ、前金を支払わせる」という「前金詐欺」を利用して運び屋の募集選定を行う。
  • 求職者に送金サービス業者を査定する覆面調査員になる話を持ちかける。覆面調査員は、預金口座間の決済を処理するシステム「電子資金決済」(EFT)を実際に利用し、その評価結果を指定の顧客満足度調査表に記入するが、こうした際に運び屋が募集選定される。
  • ソーシャル・ネットワーキング・サイトを介して運び屋の候補を募る。

 既に運び屋となっている人物に対しても、迅速かつ内密に送金をさせるために、どう喝や嫌がらせ、脅迫等を行う場合がある。また、運び屋が提供した個人情報も、さらなる運び屋の募集選定のための個人情報収集や口座名義なりすましに利用される。

 こうして、「MoneyGram」や「Western Union」のような電子送金サービス会社を介して、自分の意思に関係なく、不正に取得した金銭を送金するように指示されるのが運び屋なのである。そしてこうした運び屋の影響で感染数が急増したといわれているのが、「Zeus」ボットネット関連の不正プログラム「ZBOT」である。最近、中小企業や大銀行の顧客を標的にした「Zeus」ボットネット関連の攻撃も確認されており、この攻撃では、一般に「Bugat」と呼ばれる新種の不正プログラム(トレンドマイクロでは「TROJ_ZBOT.BTM」として検出)が攻撃にかかわっているという。

図1●「運び屋」がかかわるZBOTの感染フロー
[画像のクリックで拡大表示]

「ZBOT」ファミリの目的とは?

 ボットネット「Zeus」に関連する不正プログラム「ZBOT」は、2005年に既に活動を開始していた。これら「ZBOT」ファミリは、いずれも、主にオンライン銀行やSNS、電子メールに利用されるアカウント情報を収集する目的で設計されていた。またこれらの亜種は、通常は、スパムメールを介して侵入するか、もしくはユーザーが悪質に操作された検索結果のリンクをクリックすることにより侵入する場合もある。後者の場合、話題の時事トピックや悲劇的な出来事を巧妙に利用して、できるだけ多くのユーザーが興味を持つように工夫されていた。

 こうして、大企業も中小企業も、こういったサイバー犯罪者たち(ボットネット「Zeus」の背後でZBOT」をるサイバー犯罪たち)の犠牲となる危険にさらされる。DNS管理サービスを提供する米国の「Neustar」によると、実際には大企業が最大の被害を被っているという。被害をうけた大企業は、銀行や金融機関との取引の大部分を電子送金に頼っていたために被害にあった。また中小企業も同様に危険に被害を受けており、米連邦捜査局(FBI)は、「サイバー犯罪者たちがこれまでに中小企業から約4000万米ドルを不正に取得している」として、米国インターネット犯罪苦情センター(Internet Crime Complaint Center)に対し、オンラインユーザーに注意を呼びかけるよう促している。

どのようなリスクにさらされるか

 インターネット使用の人気が高まり、手軽に利用できることから、ユーザーはインターネットを豊富な情報源としてだけでなく、金銭取引の手段としても活用するようになった。そしてこのことが皮肉にも、インターネット自体がサイバー犯罪者たち、とりわけZeusの背後でZBOTを操るサイバー犯罪たちの金もうけの標的となるという結果を招いてしまった。

 実際、企業も規模の大小に関係なくこうしたサイバー犯罪者たちの犠牲となっており、彼らが操るZBOTの感染が原因で、巨額の損失、場合によっては倒産といった経験をしている。ボットネット「Zeus」による攻撃は、個人情報収集でもよく知られており、収集された個人情報は、彼らボットネット利用の犯罪者たちの手により、金銭目的のため、運び屋を使った不正送金に悪用されるからである。

 今日の複雑化した脅威から身を守るためには、総合的な防御を提供するセキュリティ対策を選択することが不可欠である。総合的な防御では、Zeus関連のような攻撃も、関連スパムメールをユーザーのインボックスに届く前にブロックし、関連不正サイトもユーザーがアクセスする前にブロック、そして、トレンドマイクロで「TROJ_ZBOT.BTM」として検出される不正プログラムも、その他の「ZBOT」ファミリの亜種も、不正なファイルを事前に検知し、実行を阻止することが可能だ。

 スパムメール、インスタントメッセージ、あるいは、ダイレクトメッセージ内の不正なリンクをクリックしないことも、今回のような攻撃から身を守るのに有効な対策である。信頼できる送信元からの情報にのみ目を通し、よく知られている検索エンジンの上位に表示された検索結果であっても、疑わしいURLのクリックを避けることが必要である。

 「Money-Mule」 詐欺について警告を促したFDICは、企業に、徹底的した銀行口座の監視を行い、顧客の本人確認を強化するよう勧告している。被害を受けた企業は、直ちに、不正だと思われる取引について当局に報告しなければならない。また、「運び屋」に仕立て上げられる被害に巻き込まれないようにするために、一般のユーザー、特に求職者は、楽な収入を約束する在宅業務などの求人情報には十分注意し、信頼性を常に確認する必要がある。

[参考]
今回の脅威に関する記事はこちら:
http://about-threats.trendmicro.com/VINFO/RelatedThreats.aspx?id=19 &language=en&name=ZeuS%2fZBOT+Takes+Money+Mule+Use+to+the+Next +Level&tab=malware

今回の脅威に関するウイルス情報はこちら:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_ZBOT.BTM
http://www.trendmicro.co.jp/vinfo/virusencyclo/default2.asp?m=q&virus= ZBOT&alt=ZBOT

その他の関連情報(英語)はこちら:
http://news.cnet.com/8301-27080_3-10455525-245.html
http://www.krebsonsecurity.com/2010/02/it-firm-loses-100000-to-online- bank-fraud/
http://www.krebsonsecurity.com/tag/zeus/
http://en.wikipedia.org/wiki/Money_mule
http://www.fdic.gov/news/news/SpecialAlert/2009/sa09185.html
http://www.darkreading.com/vulnerability_management/security/client/show Article.jhtml?articleID=222700615&cid=RSSfeed
http://blog.trendmicro.com/?s=zbot+spam&image.x=0&image.y=0&image=Search
http://blog.trendmicro.com/?s=zbot+seo&image.x=0&image.y=0&image=Search
http://www.neustar.biz/content/download/778/4341/ACH_White_Paper.pdf
http://voices.washingtonpost.com/securityfix/2009/10/fbi_cyber_gangs_stole_ 40mi.html#more
http://www.ic3.gov/media/2009/091103.aspx
http://www.fdic.gov/news/news/SpecialAlert/2009/sa09185.html

Copyrights (C) 2010 Trend Micro Inc. All rights reserved.

本記事の内容は執筆時点のものであり、含まれている情報やリンクの正確性、完全性、妥当性について保証するものではありません。
◆このコラムでは、フィリピンのトレンドラボの研究者が、最近のセキュリティ・インシデントについて解説します。記事はすべて新たに書き下ろしたものです。