これまでにも何度かこのブログでご報告したとおり、Zeus(Trojan.Zbot)などオンラインバンキングを狙うトロイの木馬が、しばらく前から世界中のオンラインバンキング利用者にとって頭痛の種になっています。日本を含む一部の国や地域は、これまでオンラインバンキングを狙うトロイの木馬の被害を免れてきました。理由はおそらく言葉の壁であろうと考えられますが、何か別の理由があったのかもしれません。しかし、警察庁がすでに何度か通知しているように、オンラインバンキングを利用する日本のユーザーがこの攻撃の被害を受けるようになってきています。
シマンテックは最近、日本の大手銀行 5 行を狙った新しい Zeus ファイルを発見しました。図 1 に、暗号化された設定ファイルの一部を示します。このマルウェアは、日本の銀行のみを標的にしています。
図 1. Zeus の設定ファイルで標的としてリストされている銀行
図 2 を見ても、この亜種への感染は日本でしか確認されていないことがわかります。明らかに、日本のオンラインバンキング利用者が狙われているのです。
図 2. Zeus の亜種が日本だけを標的にしていることを示す分布図
機能は、これまでの Zeus の亜種と変わりません。感染すると、Zeus は標的とした銀行のサイトにアクセスする Web ブラウザを監視し、日本語のメッセージを表示する HTML コードをインジェクトします。表示されるのは、以下のようなメッセージです。
「もっと良いサービスを提供するため、当行の個人ネット銀行機能のアップデートをさせて頂いていますので、この間ネット銀行機能を使ったら、新規登録する時ご入力した情報をもう一度入力をいただき、アップデートを完了させて頂くようお願い申し上げます」(原文ママ)
ユーザーは、パスワードやその他の情報を入力するよう要求されます。ログイン情報は、Zeus に組み込まれているキーロガー機能によって記録され、攻撃者がアカウントへのアクセスに利用できるようになります。
図 3. 偽の警告を表示する HTML コードにより、情報を入力するよう求められる
図 4. 偽の警告を表示する HTML コードにより、暗証カードの発行日を入力するよう求められる
攻撃者は、Zeus のインストールに Blackhole 悪用ツールキットを利用しています。シマンテックのセキュリティ製品をお使いであれば、以下の検出定義によりこの攻撃から保護されます。
ウイルス対策:
侵入防止システム(IPS):
- 25616 Web Attack: Malicious Website Accessed 2
- 26002 Web Attack: Exploit Toolkit Website 32
- 26434 System Infected: Citadel C&C Activity
ビヘイビア分析による遮断:
SONAR.Heuristic
Zeus は通常、悪用ツールキットを介して拡散されます。インストールされているすべてのソフトウェアを最新の状態に保つことをお勧めします。この手のマルウェアは電子メールを介してコンピュータに届く場合もあるので、信頼できない送信者から送られてきた電子メールや添付ファイルは開かないようにしてください。また、オンラインバンキングのサイトで、いつもと違う情報が要求される場合には、疑うことも必要です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。