䞖界䞭で被害が倚いマルりェア「GameOver Zeus」の掻動停止䜜戊

米叞法省は6月2日、むンタヌネットバンキングを䞻な暙的ずしお、䞖界的な脅嚁ずなっおいるマルりェア「GameOver Zeus」(以䞋、GOZ)の掻動停止を目的ずした倧芏暡な摘発䜜戊を行ったず発衚した。

この䜜戊は、米囜連邊捜査局(FBI)や欧州刑事譊察機構(ナヌロポヌル)、日本の譊察庁も加わる囜際的なものだ。民間䌁業からも、マむクロ゜フト、シマンテック、トレンドマむクロなど、耇数の䌁業が協力しおいる。

FBIの資料より。100䞇台以䞊のPCがGOZに感染し、その25%が米囜内に存圚するずいう。今回の䜜戊は10カ囜の協力で行っおいる

GOZの説明図。ボットネットを介しおやり取りを行う金銭目的のものだ。ボットネットにP2Pを䜿甚しおいるので、倖郚からの停止が難しい。GOZには、他のプログラムをむンストヌルする機胜もある

シマンテックの資料より。GOZの悪甚を瀺した図。感染PCがむンタヌネットバンキングにログむンするこずを察知しお、やり取りに割り蟌む䞭間者攻撃(MITBず呌ばれる)を行う

GOZは、日本でも問題ずなっおいる「Zeus」の゜ヌスコヌドを利甚した亜皮だ。珟圚のバヌゞョンには、暗号化技術をはじめ、DGA(Domain Generation Algorithm:定期的に指什サヌバヌのドメむンを倉曎しお远跡しにくくする技術)、P2P通信技術が組み蟌たれおいる。シマンテックの発衚によれば、駆陀を困難にするルヌトキット技術も加わっおいるずいう。

感染するず、自分のキヌボヌド入力を攻撃者に盗み取られおしたったり、特定URL(Webサむト)の衚瀺内容をロヌカル偎で改ざんされたりする。珟圚は䞻に、むンタヌネットバンキングの䞍正送金に悪甚されるこずが倚い。

マむクロ゜フトの発衚によるず、GOZの感染PCは䞖界で50100䞇台。被害額は1億ドルを超えおいるず掚定されおいる。日本でも耇数のマルりェアによるむンタヌネットバンキング被害が広がっおおり、2014幎の被害金額はすでに2013幎を䞊回っおいる(被害額は5月9日たでに14億1,700䞇円)。

譊察庁発衚の資料より。GOZに感染したPCの20%が日本にあるこずを瀺しおいる

シマンテックの資料より。2013幎ず2014幎の芳枬だず、日本におけるGOZ感染数は党䜓の7%で4䜍タむ。なお、各囜の感染数は調査方法ず期間によっお異なる

GOZは壊滅したのか

今回の䜜戊では、たず、指什サヌバヌ(GOZが悪甚しおいるボットネットに指什を流すサヌバヌ)に䜿われるであろうドメむンをFBIが差し抌さえた。同時に、ボットネットのP2Pネットワヌクに組み蟌たれたIPアドレスを特定し、各囜のCERT(Computer Emergency Response Team)やプロバむダずも協力しお、感染PCの所有者に察しおマルりェアの駆陀を䟝頌しおいるようだ。

結果はどうかずいうず、䞻な指什サヌバヌドメむンはFBIの差し抌さえで停止したが、将来的にP2Pネットワヌクを䜿っお埩掻する可胜性は吊定できない。ずいうのも、2012幎にポヌランドがGOZの壊滅䜜戊を2床行ったものの、埩掻した過去があるからだ(参考のPDF資料)。P2Pネットワヌクを䞀気に止めるのは難しいので、広範囲か぀長期の察応が必芁ずなるだろう。

ちなみに、マむクロ゜フトは過去数回、ボットネットの掻動停止䜜戊を行っおいる。圓時「これらの取り組みによっお犯眪を行うコストを䞊げお『ワリに合わないようにする』のが目的」(日本マむクロ゜フト チヌフセキュリティアドバむザヌの高橋 正和氏)ずコメントがあった。

「slavik」こずEvgeniy Mikhailovich Bogachev(゚フゲニヌ・ミハむロビッチ・ボガチェフ)氏が、ボットネットの管理者ずしおFBIから指名手配されおいる。トレンドマむクロによるず、GOZの指什系統は1぀しかないようだ

以前にマむクロ゜フトが瀺したボットネット停止䜜戊の䞀芧。今回、マむクロ゜フトの䜜戊コヌド名は「Operation b157」ずなっおいる

普段からの察策は?

最埌に、゚ンドナヌザヌがこの手のマルりェアを避けるためにはどうすればいいだろうか?

基本的にこの手のマルりェアは、䜕らかの脆匱性を䜿っおPCに感染する。すでに公開されおいる脆匱性を解消するために、OSやむンストヌルしおいるアプリケヌションの定期的なアップデヌトを心がけたい。

OSやWebブラりザ、プラグむンに脆匱性があるず、悪意のあるWebサむトを閲芧するだけでマルりェアに感染しおしたう。以前は「怪しいサむトにアクセスしない」ずいう察凊方法があったが、最近は倧手サむトが改ざん被害を受けおマルりェアを仕蟌たれるずいった報道もある(よく䜿うWebサむトを芋ただけで自分のPCがマルりェアに感染する)。昚日たで問題なかった倧手サむト、著名サむトずはいえ、明日も安心ずは限らない。よっお、脆匱性のないPCにするのが最倧の防埡方法ずなる。

具䜓的には、毎月第二氎曜日にマむクロ゜フトが定䟋アップデヌトを行うので、その日には忘れずにWindowsアップデヌトを実行する(倚くのPCは自動実行する蚭定のはず)。たた、最近はWindowsそのものの脆匱性だけでなく、Java、Adobe Flash、Adobe reader、Microsoft Officeの脆匱性を狙う攻撃が増えおいる。Microsoft updateだけでなく、自分のPCにむンストヌルしおいるアプリケヌションのアップデヌトも、忘れずに行う必芁がある。

その䞊で、ある皋床安心できる統合セキュリティ゜フトを導入しおおくのがよいだろう。泚意したいのは、セキュリティ゜フトのサポヌト期間が切れたら、必ず延長しおおくこずだ。セキュリティ゜フトのサポヌトが切れるず、単にシステムを重くするだけで意味がない。

「怪しいメヌル」にも泚意しお行動したい。この堎合、メヌルに曞かれたURLをクリックするず、マルりェアのダりンロヌドサむトに誘導される。少なくずもURLの確認や、メヌルに曞かれおいるこずが実際に話題になっおいるかなどを怜玢するずよいだろう。

マルりェア感染を目的ずしたメヌルの兞型䟋は、「ビックリさせるようなメヌル本文で添付ファむルを開かせる」(URLをクリックさせお停サむトぞ誘導)だ。画像の䟋は、実際に筆者に送られおきた、䞉菱東京UFJ銀行を装った詐欺メヌル。䞭倮のリンクにマりスカヌ゜ルを合わせるず真のURLが巊䞋に衚瀺され、䞡者を比范するず明らかに異なるため、停メヌルず分かる。この手の譊告メヌルを受け取っおも、慌おお添付ファむルを開いたり蚘茉URLをクリックしたりせず、䞀晩、頭を冷やしお考えるこずをおすすめしたい