本記事は、The Official Microsoft のブログ “Microsoft helps FBI in GameOver Zeus botnet cleanup” (2014 年 6 月 2 日公開) を翻訳した記事です。
以下は、Microsoft Digital Crimes Unit のアシスタント ゼネラル カウンスルである、リチャード・ドミンゲス・ボスヴィッチ ( R ichard Domingues Boscovich ) の投稿です。
月曜日の GameOver Zeus ボットネットに対する多国間の措置 (英語情報) を受けて、マイクロソフトは FBI、および業界のパートナーと連携してマルウェアを削除するための措置を講じたことをお知らせします。これにより、感染したコンピューターが被害拡散のために使用されることはありません。
GameOver Zeus は、Zeus (Zbot とも呼ばれます) (英語情報) が変異したマルウェア ファミリの一種で、マイクロソフト セキュリティ インテリジェンス レポートによると、非常に蔓延している、パスワードを盗用するトロイの木馬型マルウェアです。Dell Secure Works Counter Threat Unit は、2013 年に最も蔓延したのが、銀行口座を狙うトロイの木馬だったと報告しています。ですが、GameOver Zeus の影響は金融業界のみに留まるものではありません。なぜなら、ほとんどの大企業、および公共部門の組織が影響を受けているからです。セキュリティ研究者の推測では、世界規模で 50 万から 100 万のコンピューターが感染しており、FBI (アメリカ合衆国司法連邦捜査局) は GameOver Zeus が 1 億ドルを超える損失をもたらしていると予想しています。
GameOver Zeus に対する FBI 主導の法的な措置、および民間主導の技術的な措置により、マルウェアが生成したドメインおよびサイバー犯罪者が登録したドメインとリンクしているコマンド アンド コントロール (C&C) インフラストラクチャの一部を崩壊させました。コード名 b157 と名付けられたこのオペレーションで FBI は登録されたドメインを差し押さえました。マイクロソフトは、この問題に関してはこれまでの措置のように、民事訴訟を申し立てはしませんでした。C&C サーバーに集中するほとんどのボットネットと違い、GameOver Zeus はピアツーピア (P2P) 手法を利用して C&C を分散させるため、これまでのボットネットよりも、さらに捉えにくく、修復力もより高くなっています。
技術的な措置におけるマイクロソフトの役割は、P2P ネットワークの分析の実施とクリーニング ソリューションの開発です。また、Shadow Server から得られた追加情報により、より多くの影響を受けた IP アドレス数をマイクロソフトの Cyber-Threat Intelligence Program (C-TIP) に組み込むことができます。そして、感染したコンピューターの所有者が、システムのコントロール権を回復できるように、グローバルな Community Emergency Response Teams (CERT)、およびインターネット サービス プロバイダー (ISP) と協力します。これら措置に基づいて、サイバー犯罪者のビジネス モデルを崩壊でき、サイバー犯罪者もまた、犯罪のインフラストラクチャの再構築を余儀なくされます。さらに重要なのは、GameOver Zeus の被害者には、これまでのように引き続き通知され、将来の被害を防ぐために感染したコンピューターがクリーンアップされます。
今回のオペレーションは、11 月 14 日の新設 Microsoft Cybercrime Center (英語情報) 披露以降、マイクロソフトが行った 2 度目のボットネット オペレーションです。このセンターはサイバー犯罪に対するグローバルな戦いを前進させる卓越した機関で、ボットネット オペレーションにおいて、マイクロソフトはその関与の度合いで 9 位でした。2013 年 12 月の ZeroAccess (英語情報) ボットネットのケースと同様に、GameOver Zeus のケースもまた、世界中の人々がコンピューター デバイス、およびサービスを、確実に信頼して利用できるように、業界のパートナー、そして法的執行機関がサイバー犯罪ネットワークを排除するために行った cooperative effort (協力的な努力) (英語情報) の一環です。
GameOver Zeus について
GameOver Zeus は、サイバー犯罪者が、Web サイトを作成し、そのサイトを訪問した、保護されていないすべてのコンピューターにマルウェアがダウンロードされる、ドライブ バイ ダウンロードにより蔓延しています。また、サイバー犯罪者が、一見して、よく知られた企業や組織から送られた、合法なコミュニケーションに見える偽造メールを送る、フィッシングを利用した Cutwail スパム ボットネットを介しても拡散されます。これらの偽造電子メールには、受信者がリンクや添付をクリックするように誘導する現実的な言葉が並んでおり、最終的に、GameOver Zeus マルウェアが被害者のコンピューターに展開されます。感染したコンピューターのユーザーが Web ブラウザーに入力すると、ボットネットは自動的にキー ロギングを開始し、知らないうちにサイバー犯罪者がパスワード、および個人のアカウント情報にアクセスできてしまいます。感染したコンピューターはボットネットの C&C サーバーに盗用したデータを送信し、後日、犯罪者がデータを利用できるようにサーバーに保存します。
GameOver Zeus は、銀行口座の情報を盗用するためのキーストローク ロギングなど、Zeus (英語情報) と類似した多数の特性がありますが、金融機関に対してサービス拒否 (DDoS) 攻撃の拡散を許す、悪意のある機能とパッケージ化されています。ボットネットの変異により、GameOver Zeus は暗号化された EXE ファイルを装って、ファイアウォール、Web フィルター、およびネットワーク侵害検出システムを含む、境界セキュリティを回避できます。また、GameOver Zeus は、「Web インジェクト」として知られているプロセスを持ち、標的とした Web サイトの HTML を変更し、被害者を騙して、通常の銀行口座資格情報を超える機密情報を入力するように、追加のフィールドをフォームに差し込みます。金融機関を狙うだけではなく、GameOver Zeus はさらに百貨店、ソーシャル ネットワーキング サイト、および Web メールサービスを標的とする Web インジェクトを展開しています。ごく最近では、亜種が、求職者、および求人募集者を標的とし、人気の求人検索サイトからログインの資格情報を盗用しようと試みています。ICE IX、Spy Eye および Citadel など幾つかの Zeus の古いバージョンと違い、GameOver Zeus は一般ドメインで売り込みや販売はされていません。
本ケース、およびオペレーションは現在も進行中で、利用可能になり次第、更新情報を引き続きお知らせします。サイバー犯罪に対する戦いに関する最新の開発情報を入手していくには、Facebook (英語情報)、および Twitter (英語情報) で Microsoft Digital Crimes Unit をフォローください。
マルウェア削除、およびウイルス対策ソフトウェアを利用して、早急にトロイの木馬型 GameOver Zeus を削除してください。削除方法の詳細説明はhttp://support.microsoft.com/gp/cu_sc_virsec_master を参照してください。