ボットに感染したユーザーのパソコンを操り、フィッシングやウイルス配布を仕掛ける攻撃が、年が明けても盛んに続いている。
英語圏のユーザーを狙った攻撃なので、国内のユーザーが釣られてしまう可能性は低いのだが、Zeus/Zbot系のボットネットは国内のユーザーにも大量の誘導メールを国送りつけるうえ、ボットネットに取り込まれて偽サイトをホストする側に回ってしまった国内ユーザーのパソコンも散見される。
●偽サイトをホストする国内ユーザーのパソコン
Zeus/Zbot系のボットネットが今年に入ってからホストした偽サイトは、Facebook、Western Union、Fifth Third Bank、HSBC、eBay、HMRC、USAA、IRS、VISA、AOLのインスタントメッセンジャー「AIM」、マイクロソフトの「OutLook」など。1か月足らずでこれだけの悪行をこなしているのだ。
Zeus/Zbot系のボットネットは、誘導メールの送信からホスティングまで全てを、配下の感染パソコンを使って行っており、アカウント情報やカード情報を騙し取るフィッシングのほかに、ウイルス感染活動、フィッシングとウイルス配布の併用と攻撃も多彩。 26日朝の時点では、VISAを装うフィッシンと、AOL、IRSを装うウイルス配布、Facebookを装うフィッシングとウイルス配布が行われている。ホストする国内のユーザーのパソコンは、年末に比べると減ってはいるものの、時間帯によって1~2台が参加している状態だ。
●「Outlook Web Access」ユーザーを狙った攻撃
ビットディフェンダーが19日付で注意を呼び掛けた「Outlook Web Access」ユーザーを狙った攻撃は、今月8日頃から約1週間にわたって行われたもの。メールボックスに新しい設定ファイル適用するよう指示し、settings-file.exe(実はZbot)をダウンロード実行させようとする。
この辺は、以前からの手口と同じだが、最近のZeus/Zbot系ボットネットの偽サイトには、ページを開いただけで自動実行してしまう仕掛けが組み込まれている。世間を騒がせている、いわゆるガンブラー(Gumblaar、8080)の攻撃サイトと同種の脆弱性攻撃も仕掛けてくるのだ。
●対策は「OSやプラグインを最新の状態」に
26日時点の攻撃に悪用されているのは、Adobe Reader、DirectShow(MS Videoコントロール)、Internet Explore。いずれも修正済みの脆弱性なので、OSやプラグインを最新の状態にしていれば、Zbotが自動的にインストールされるようなことはない。しかし、ユーザー自身がまんまとだまされ自分で実行してしまうと、ボットネットに強制加入という結末を迎えてしまう。使用しているソフトウェアの脆弱性とともに、ユーザー自身の脆弱性も解消しておきたい。
(2010/01/26 ネットセキュリティニュース)
■爆発的な感染の恐れがあるマルウェアZBot型に注意(ビットディフェンダー)
http://www.bitdefender.jp/20100114.php