Gameover ZeuS

Gameover ZeuS(ゲームオーバーゼウス)とは、不正プログラム。トロイの木馬、ボットネット。略称「GOZ」。

概要

ネットバンキングを狙うボットネットであり、前作の「ZeuS」(ゼウス)の改良版と見られている。GOZに感染した端末から金融機関にアクセスすると、感染端末のメモリを書き換えて偽のログイン画面を表示させてID/パスワード等の各種情報を入力させ、その口座からの不正送金を行う。また、感染した端末同士でP2P型ネットワークを形成するうえ、サイバー犯罪者が管理・コントロールするネットワークを構築し、これを拠点にDDoS攻撃など他の犯罪にも利用することができる。

警察庁サイバー犯罪対策室の発表によれば、世界で50万台から100万台が感染し、そのうちの約20%が日本の感染率とされている。サイバー犯罪対策室は、専用ページを設置して米国連邦捜査局 (FBI) 及び欧州刑事警察機構(ユーロポール)などと協力し、「国際的なボットネットのテイクダウン作戦」を表明した[1]。2014年6月2日に米司法省は、この「国際的なボットネットワーク」を使用不能にできたことを表明した。ボットネットワーク使用不能まで10か国以上の機関が連携したと報じられている[2]

被害総額は1億ドルを超えると考えられている。

シマンテックによれば、2011年9月に初めて登場したと述べられている[3]。FBIは2015年2月24日に首謀者であるエフゲニー・ボガチョフ (Evgeniy Mikhailovich Bogachev) の顔写真を公開し、彼の逮捕に繋がる情報提供に対して最大300万ドルの懸賞金をかけた[4][5][6]。2015年1月にはカスペルスキーが同じくZeuSから派生した新手の「Chthonic」(ソニック)が発見されたと報じている[7]

なお、同名のトロイの木馬作成ツール「Zeus」が流通しており、これで作成されたトロイの木馬は7万330種類あると報じられている[8]。ZeuSの実行ファイルは暗号化されており、暗号鍵(シード値)を変更することにより、ハッシュ値が全く異なる亜種を簡単に作成することができる。このため、ファイル特徴点の探索を主な手段とするウイルス対策ソフトでは発見が難しい。

攻撃の手法

ZeuSが用いる攻撃手法は以下のとおりである。

キーロガー

ウェブブラウザの動作を監視し、ネットバンキングへのアクセスが確認されたら、その直後のキーボード入力を記録し、C&Cサーバに送信する。

スクリーンショット

ウェブブラウザの動作を監視し、ネットバンキングへのアクセスが確認されたら、マウスクリックと同期してスクリーンショットを撮影し、C&Cサーバに送信する。

これにより、ソフトウェアキーボードによるセキュリティ対策を無力化する。

クッキーの削除

ブラウザのクッキーを消去することにより、一部のウェブサイトの自動ログインを無効化する。

これにより、ユーザーはパスワードを入力しなければならなくなるため、恐らくキーロガー等で窃取される危険性がある。

電子証明書の削除

インストール済みの電子証明書を削除する。

自動認証が無効化されるため、パスワード入力が必要になる可能性がある。その場合、キーロガー等で窃取される危険性が高まる。

偽の入力フォーム

ウェブブラウザの動作を監視し、ネットバンキングのログインページへのアクセスが確認されたら、ログインページのソースコードを書き換えて、偽のパスワード入力フォームを表示させる。

パケットキャプチャー

HTTPのPOSTリクエストでネットバンキングサイトに送信されたデータを記録し、C&Cサーバに送信する。

遠隔操作

ウェブブラウザの動作を監視し、ネットバンキングへのアクセスが確認されたら、電子メール等でC&Cサーバに通報する。

通報を受けた犯罪者が、認証済みの被害者のPCを遠隔操作し、不正送金等を行う。作業はバックグラウンドで行われるため、被害者が気付くことは難しい。

ファイル窃取

被害者のPCに保存されている全てのファイルをキーワード検索し、パスワードが記載されている可能性があるファイルをC&Cサーバに送信する。

脚注