今年3月、米Microsoftが実施した「Operation B71」によって、当時最も危険と言われていたボットネット「Zeus」(Zbot)をテイクダウンさせたが、日本マイクロソフトのチーフセキュリティアドバイザーの高橋正和氏が、その詳細を解説した。

Zeusとその手口

Zeusは、作成ツールであるジェネレーターとC&C(コントロール&コマンド)サーバーを構築するツールキットとして流通するボットだ。これを利用することで、感染PCを乗っ取ってボットネットとし、特にキーロガーなどを使って金銭を窃取することを目的に利用されている。日本での被害はほとんど観測されていないが、欧米では大きな被害を出しているボットネットだ。

ジェネレーターとC&Cは複数のバージョン、機能、サポートの有無などの種類があり、ブラックマーケットでは「700~15,000ドル程度で販売されている」(高橋氏)という。ジェネレーターがあるため亜種の作成は容易で、多数の亜種が蔓延し、現在でも600以上のボットネットが確認されているそうだ。

ZeuS Trackerと呼ばれるサイトを見ると、現在確認されているボット、アクティブなボットが確認できる

感染PCは世界中で1,300万台に上り、WebサイトがEメール入力を求めた場合などに内容を改変して銀行のPINコードを同時に入力させるようにするなどして情報を盗み、銀行口座から金銭を奪うなどの手段で、すでに被害総額は5億ドルを超えるとみられている。

米国ではシークレットサービス、連邦捜査局(FBI)、Internet Crime Complaint Center(IC3)、Financial Services Information Sharing and Analysis Center (FS-ISAC)が連名で注意喚起を行っており、16万4,000ドルの損害で破産した企業や、46万5,000ドルを盗まれた銀行、企業の機密情報の盗難などの被害が報告されている。

Zeusに関連して米政府から注意喚起が行われている

Zeusは、キーロガーやファイルからの情報を盗むことで、PCから銀行の口座情報を詐取し、銀行口座にアクセスしようとする。こうした攻撃の対策で「二要素認証」が使われているが、Zeusではこの回避機能も備えているという。

ここで使われているのが「Man in the Browser(MIB)攻撃」と呼ばれるもので、二要素認証を使ったログイン自体は素通しする。ユーザーはそのまま「口座Aに100万円を送金」といった操作を行う。ここでZeusは感染PCのトランザクションを書き換え、口座AをBに変更してしまう。銀行側では正常な二要素認証によるログインをしたマシンから、口座Bに対する送金指示が来たため、そのまま処理を行う。銀行はその結果を感染PCに送信するが、Zeusはここも書き換え、口座Aに送金されたと偽装する。送金される口座Bには、「Money Mule」と呼ばれる運び屋の口座が使われるそうだ。

Zeusのに要素認証の回避方法。ログインは素通しし、トランザクションを書き換えることで攻撃を行う

Zeusに限らず、こうした二要素認証を回避する方法はほかにもあり、例えば特に欧州でよく使われているmTAN(Mobile Transaction Authentication Number)と呼ばれる二要素認証では、ワンタイムパスワードを携帯電話にSMSで送信する仕組みを用いているが、WebサイトでmTANを登録する際の情報をMIBで盗み、さらに登録情報を送信するメールに偽装してマルウェアを送信、mTANを受信する特にスマートフォンをマルウェアに感染させる。この場合、盗んだ情報を使って犯罪者がログイン、送金指示を行い、それに対して送信された認証情報のメッセージを、スマートフォンのマルウェアが自動的に犯罪者に転送してしまう。これで二要素認証が回避されるという攻撃だ。

ボットネットSpyEyeで使われた二要素認証「mTAN」の回避方法。スマートフォンをマルウェアに感染させ、SMSメッセージを奪取することで回避する

もともと、横行していたフィッシング詐欺の対策として導入されたmTANであり、この結果、フィッシング詐欺の被害は減少したそうだが、これを悪用されるようになったことで、被害はさらに拡大しているという。