is702

「セキュリティの脅威」グローバルレポート~世界中の最新セキュリティ脅威動向をご紹介~

ボット紛争勃発? 老舗ボットネットZeus vs. 新興ボットネットEYEBOT

パソコンを外部から操り、悪事を働く手先とさせるボット。ボット化したパソコン同士がネットワークを組まされて、さらに大きな悪事に荷担させられるボットネットに、新たなものが登場しました。
「EYEBOT」という名前の新興ボットネットは、通常のボットネット同様、個人情報を盗むなどの活動を行いますが、なんと老舗ボットネット「Zeus」の不正活動を妨害するというのです。
また、「Kneber」なるボットネットも登場。新種のボットネットではないかと注目を集めましたが、実態は「Zeus」の亜種だということが判明しています。


ボットネット最新事情 ~パワーアップするボットネット~

新興ボットネットEYEBOTが老舗Zeusの活動を妨害

最近、新興ボットネット「EYEBOT」が登場しました。このボットネットは、キー入力操作情報を記録して銀行口座情報や個人情報を収集、金融関連Webサイトを利用する際に使われる環境設定ファイルをダウンロードするなど、金銭目的の活動を行います。また、自分自身の不正活動を隠ぺいする、ルートキット機能も備えています。
これらの活動自体は、既存のボットネットと変わりありません。現在最も危険なボットネットといわれる「Zeus」も同様の働きで悪事を行います。ところが、「EYEBOT」は「Zeus」の活動を妨害する機能を持っているということから、注目されています。
「Zeus」は、ZBOTというウイルスを使って悪事を行いますが、「EYEBOT」はZBOTの活動を終了させます。ボットネット同士でボットの奪い合いをしていると考えられます。

EYEBOTが動作している様子をタスクマネージャで見たもの。赤い囲みがZBOTの活動を監視している部分

アメリカ国家情報会議を装ったメールでZeusを拡大

一方の「Zeus」も、ZBOTウイルスをばらまき、さらにボットネットを拡大させています。
最近確認されたのは、アメリカ大統領のための諮問機関である「National Intelligence Council(国家情報会議、NIC)」を装った迷惑メール。これには、NICが発行する中長期戦略報告書「2020プロジェクト」を装った実行ファイルが添付されていました。このメールは、行政機関を示すトップレベルドメインの「gov」やアメリカ防総省専用のトップレベルドメイン「mil」が含まれるメールアドレスを利用する組織や人々を標的に送られました。

セキュリティ企業へのメッセージを入れ込んだZBOT

「Zeus」は通常、迷惑メールや不正リンクなどでZBOTウイルスをばらまき、銀行口座情報など収集することが知られています。しかし今回、趣が異なるZBOTの亜種が確認されました。コード内に、セキュリティ企業に対する感謝とやじを表明したメッセージを入れ込んでいたのです。そのメッセージとは、「セキュリティソフト○○と△△、ありがとう。その研究に感謝。セキュリティソフト××と□□はバカ」というものです。
サイバー犯罪者は、世間で知られたセキュリティ製品を用いて、彼らが作成する“作品”、つまりウイルスをテストしてから、世に送り出しているようです。

ZBOTの亜種のコード。赤い部分にセキュリティ企業へのメッセージが入れ込んである


迷惑メール最新事例 ~だましの手口あれこれ~

Bloggerのアカウントを更新する必要がある!?

信頼度の高い企業を装ってメールを送りつけるのは、迷惑メールの常套手段。たびたび使われてきたGoogleがまたも悪用されました。
今回確認されたメールは、Googleのブログサービス「Blogger」を装い、「リンクをクリックし、Bloggerのアカウントを更新してください」と書かれています。Blogger利用者のアカウント情報を収集する目的であると考えられます。
収集したアカウント情報の用途として考えられるのが、不正リンクを検索結果の上位に表示する「SEOポイズニング」への利用です。サイバー犯罪者は、ブログやニュースサイトにあるコメント欄に、自分たちが作成したウイルスを配布する不正サイトを記述するという手口を頻繁に使用しています。それによって、不正サイトが検索エンジンの上位に表示されやすくなるのです。
ソーシャルネットワーキングサイト(SNS)のアカウント情報もしばしば盗まれますが、これも同様にSEOポイズニングに使われていると考えられます。また、最近、大量のリンクを掲載したWebページ「Link farm(リンクファーム)」が確認されていますが、この目的もSEOポイズニングだと考えられています。

Bloggerからを装ったメール。不正なリンクが記述されている

Googleから求人応募の返事が来た!?

Google関連では、別の迷惑メールも確認されています。見つかったのは、Googleの求人応募書類への返信を装ったもの。メッセージには、Googleのロゴとともに圧縮ファイルが添付されています。この圧縮ファイルを解凍すると、一見、Microsoft Wordのファイルに見える実行ファイルが現れます。本来のファイル形式を隠すために、長い空白スペースが挿入されていたのです。これは、サイバー犯罪者が実際のファイル名の拡張子を隠すために利用する、古くからある手口です。

Googleロゴ入りのメール。「履歴書を確かに受け取りました」とある/長いスペースが挿入されているため、Wordファイルのように見える実行ファイル(=ウイルス本体)

人気SNS、hi5から招待状が来た!?

世界中で人気の高いSNS、「hi5」。過去にもhi5を狙ったフィッシング詐欺が確認されていますが、2010年2月、再びこの人気SNSを狙った攻撃が確認されました。
確認された迷惑メールは、hi5の通常の招待状同様、「○○さんが友人に追加するように求めているので、リクエストに応えてください」といった内容が書かれています。しかし、奇妙なことに、招待状を見るためには、添付ファイルを開く必要がありました。
“Invitation Card.zip”という名前の圧縮ファイルに含まれるファイルは、一見html形式に見えます。しかし実際は、先ほどのGoogle求人応募の返信メールのように、ファイル名に空白スペースが挿入されている、拡張子が“EXE”の実行ファイル(=ウイルス)です。

hi5ロゴ入りのメール。通常の招待状のように見えるが、ファイル(=ウイルス)が添付されている


SEOポイズニング最新事例 ~危険なのはこのワード!~

スーパーボウルの放映時間→偽セキュリティソフト

アメリカで絶大な人気を誇るアメリカン・フットボール中継「Super Bowl(スーパーボウル)」。この最新シーズンのテレビ放送時間を検索して確認しようとすると、「Windows Web Security」という名前の偽セキュリティソフトがダウンロードされてしまいました。

伝説的コメディアンの死去の偽ニュース→偽セキュリティソフト

アメリカの伝説的コメディアン、ビル・コスビー氏が亡くなったという偽のニュースが流れました。これに便乗して、このニュース検索しようとした結果、スーパーボウルの放映時間の例と同様の偽セキュリティソフト「Windows Web Security」がダウンロードされました。

小型飛行機突っ込み事件→偽セキュリティソフト

2010年2月18日、アメリカテキサス州オースティンでアメリカ合衆国内国歳入庁(IRS)やFBIなどのオフィスが入っているビルに小型飛行機が突っ込み炎上。この事件も、SEOポイズニングの餌食となりました。検索結果から「Security Antivirus」なる偽セキュリティソフトのダウンロードサイトへ誘導されました。

小型飛行機突っ込み事件の検索結果でダウンロードされる偽セキュリティソフトの画面

バンクーバー冬季オリンピック→偽Windows Media Player

バンクーバー冬季オリンピックの検索結果からも、不正サイトへ誘導されました。ここから誘導されるのは、偽セキュリティソフトのほか、偽Windows Media Playerの配布サイトもありました。

偽Windows Media Playerへ誘導する不正なリンク


狙われるTwitter、Skype ~利用者は特に注意~

Twitterのダイレクトメッセージを使った攻撃

ダイレクトメッセージから誘導される偽Twitterログイン画面日本でも大人気のミニブログTwitter。このTwitter利用者を標的とする攻撃が確認されました。
ここでは、Twitterの「ダイレクトメッセージ」という機能が使われました。「This you????」と書かれたダイレクトメッセージ内にあるリンクをクリックすると、Twitterそっくりの偽ログインページに誘導されます。ここに入力したログイン情報は、サイバー犯罪者へ送られ悪用されるおそれがあります。また自分のフォロワーへ、同様のダイレクトメッセージを送信し、犯罪者の不正活動に知らず知らずのうちに手を貸すこととなります。

Skypeで株価操作の「pump-and-dump」

Skypeのチャットメッセージで送られる偽の株情報株価操作を目的とする偽情報「pump-and-dump」が2008年以来、2年ぶりに登場しました。
「pump-and-dump」とは、ある銘柄の株価を一時的に上昇させるために流す偽の株情報のことで、サイバー犯罪者は実際に株価が上がったところで高値で売り払い利益を得ようとします。
今回は、インターネット電話サービス「Skype」の利用者に狙いを定めて、Skypeのチャットメッセージ機能を利用。サイバー犯罪者が株価のつり上げを企む2企業について、購入をすすめる偽情報が流れました。

情報提供 トレンドラボ

トレンドマイクロのウイルス解析・サポートセンター。フィリピン・マニラを本拠点とし、24時間365日体制で世界中のインターネット上の脅威を監視。ウイルス解析、製品開発、カスタマーサポートを行っています。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ