米Akamai Technologiesは6月10日、同社のProlexic Security Engineering & Response Team(PLXsert)を通して、新たに「サイバーセキュリティThreat Advisory(脅威アドバイザリ)」を発行した。同社日本法人が6月11日、その抄訳を発表した。
今回のアドバイザリは、フォーチュン500企業に対してZeusフレームワークによる継続的な漏洩がもたらす高リスクの脅威を警告するもの。悪意ある攻撃者がZeusクライムウェアキットを使用してログイン情報を盗み出し、ウェブベースのエンタープライズアプリケーションやオンラインバンキングアカウントにアクセスする可能性があるという。アドバイザリでは、Zeusフレームワークについての下記のような分析と詳細情報を提供している。
- 起源とバリエーション
- キットの動作の仕組み
- 侵入を示す徴候
- 感染のプロセス
- リモートコマンド実行
- 実験室でのシミュレーションに見るその能力と脅威
- 推奨される対策
同社によれば、フォーチュン500企業における最近の顕著なサイバーセキュリティ侵害のいくつかは、悪意ある攻撃者がZeusクライムウェアキットを使用して引き起こしたもの。
攻撃者は同キットにより、感染したデバイスからウェブブラウザ上での入力時にログインユーザー名やパスワードなどのデータを収集、さらに正規ウェブサイト上のウェブフォームの表示に追加フィールドを挿入してユーザーを騙し、通常はサイトによって要求されない余分な情報(バンキングサイトの暗証番号など)を入力させることもできる。
攻撃者によって要求されたすべてのデータは指令・制御パネルに送り返され、そこで保存、検索、使用、または売却される。多くの場合、収集されたデータはID盗難に使用されるほか、競合他社への売却や、世間に対して企業に恥をかかせる目的に使用される場合もあり得る。
一方、Zeusフレームワークは非常に高いステルス性を備えており、ファイルは隠され、コンテンツは曖昧(あいまい)になり、ファイアウォールは無効化され、通信内容が拡散される可能性がある。Zeusを追跡している組織は、Zeusのアンチウィルス検出率をわずか39.5%と評価している。
アカマイでセキュリティ担当ジェネラルマネージャを務めるシニアバイスプレジデントのStuart Scholly氏は「最もセキュリティの高い環境でさえ、Zeusは隠れて広まる」と指摘し、以下のような対策を紹介している。
「ユーザーが騙されて、自分のデバイスを感染させるプログラムを実行するのが原因なので、組織のセキュリティポリシーの厳格な強制とユーザー教育が有効です。企業各社には、ウェブアプリケーションファイアウォールを含む厳重なウェブサイトセキュリティプロファイルの策定を推奨します。この方式によってZeusの通信パターンを混乱させることができ、データ漏洩とファイルスキャンの試みを防ぐために役立ちます」