Zeus トロイの木馬型マルウェア（Zbot）とは？

Zeusトロイの木馬マルウェアとは？

正規のウェブサイトに見える場所で銀行のパスワードを入力すると、ZeusはSSL/TLSによる暗号化がサーバーへの送信のために行われる前に、アプリケーション層でそのデータをブラウザから直接取得します。Zeusは、暗号化前にブラウザレベルで認証情報を傍受するバンキングトロイの木馬として、金融サイバー犯罪の基盤となるアーキテクチャを確立しました。米国司法省によると、Zeusのオペレーションは、起訴された事件だけで1つのサイバー犯罪組織から300万ドルを盗みました。

このマルウェアは2007年に登場し、現代のバンキングトロイが今も利用するアーキテクチャを確立しました。FBIの記録によれば、GameOver Zeusだけで2009年までに米国内で360万台のPCが感染し、2014年に法執行機関がボットネットを撹乱するまで続きました。CIS Top 10 Malware Q1 2025レポートでZeusの名前を見ることはありませんが、その技術的DNAは現在の脅威に受け継がれています。あなたが対峙しているのは、Zeus由来のバンキングトロイであり、その先駆的なマン・イン・ザ・ブラウザやモジュラーアーキテクチャの手法を採用しています。

Zeusトロイの木馬が他のマルウェアと異なる点

Zeusは、アプリケーション層でデータを傍受するマン・イン・ザ・ブラウザ（MitB）攻撃を先駆けて実現しました。キーロガーが単にキー入力を記録するのに対し、Zeusはウェブトラフィックをリアルタイムで改ざんします。銀行のウェブサイトを読み込むと、Zeusはページに悪意のあるコードを直接注入し、表示前に改ざんします。インターフェースは正規サイトと全く同じに見えますが、それは正規サイトにZeusのコードが不可視で重ねられているためです。

Zeusがシステム上で動作すると、暗号化が行われる前にブラウザ内からフォームデータを傍受・取得します。SSL証明書は緑色で有効と表示され、暗号化通信も安全なままです。しかし、Zeusはアプリケーション層で入力されたすべての認証情報を、暗号化開始前の侵害されたシステム上で収集します。

Zeusトロイの木馬の亜種とマルウェアファミリー

複数世代にわたるZeus派生のバンキングトロイに直面しています。

第一世代（2007-2011）：

• Zeus（2007）： MitBおよびフォームグラビングアーキテクチャを確立
• GameOver Zeus（2011）： CISAによると、P2P亜種は集中型C2サーバーを排除し、テイクダウンを大幅に困難化
• Citadel（2011）： 犯罪者によるカスタマイズのための「オープンソース」バンキングトロイとして登場
• Zeus Mobile（Zitmo）： モバイルプラットフォームに拡張し、二要素認証コードを取得

後継（2014-2016）：

• Dridex（2014）： スパムキャンペーンを通じて配布
• Dyre（2014）： HTTPSバイパス機能を搭載
• Trickbot（2016）： オンライン構成とモジュラーアーキテクチャを持つDyre亜種

Netskopeの2025 Cloud and Threat Reportによると、Zusy（TinyBanker）などのZeus派生マルウェアは依然として活動しており、Zeusが先駆けたコードインジェクション技術でバンキング認証情報を狙い続けています。

Zeusトロイの木馬とサイバーセキュリティの関係

Zeusは回避技術を用いるため、シグネチャベースの検知は困難です。バージョン1.4で導入されたポリモーフィック暗号化により、各感染が一意となり、従来のアンチウイルスシグネチャでは不十分です。セキュリティチームは、行動AI検知や多層防御戦略を導入し、進化する脅威に対抗する必要があります。

これらのサイバーセキュリティ上の影響を理解することで防御を構築できますが、組織への被害を定量化することで、Zeus由来の脅威が優先的に対処すべき理由が明らかになります。

Zeusマルウェアが組織に与える影響

Zeusに組織が侵害されると、初期感染を超えた連鎖的な影響に直面します。マルウェアはマン・イン・ザ・ブラウザ攻撃でバンキング認証情報を盗み、企業メール認証情報を収集してビジネスメール詐欺を可能にし、VPN認証情報も取得します。IOActiveの技術分析によると、Zeusは\windows\system32\lowsec\に暗号化された実行ファイルを含む隠しファイルを作成し、検知を回避します。

インシデント対応コストが増大します。通貨監督庁によると、金融機関は重大なコンピュータセキュリティインシデントを連邦銀行規制当局に速やかに通知する必要があります。

認証情報の窃取は、マルウェア感染後も続くアイデンティティ侵害問題を引き起こします。SpyCloudのインシデント対応ガイダンスによれば、マルウェアを除去しても盗まれた認証情報は攻撃者に利用され続け、 ランサムウェアの展開や検知・除去後も数週間にわたる持続的アクセスを可能にします。

これらの影響に効果的に対抗するには、Zeusが初期感染から認証情報の流出までどのように攻撃チェーンを実行するかを正確に理解する必要があります。

Zeusトロイの木馬マルウェアの動作

Zeusは、ドライブバイダウンロードを配信するエクスプロイトキット、悪意のある添付ファイル付きのフィッシングキャンペーン、正規ウェブサイトの侵害によるマルウェア配布を通じてエンドポイントに到達します。実行が始まると、Cisco Talos Intelligenceは急速なエスカレーションパターンを記録しています。

感染後のタイムライン：

• ミリ秒： C2サーバーへのHTTP GETリクエスト
• ミリ秒～秒： バイナリ構成ブロブのダウンロード（C2レスポンス）
• 秒： 構成ファイルがシステムに展開
• 秒： マルウェアがペアのHTTP POSTリクエストで登録
• 継続： キーロギング、フォームグラビング、ウェブインジェクションによる認証情報の収集

ドロッパーはメインのZeusボットをメモリ位置0x00b70000にPAGE_EXECUTE_READWRITE保護で展開します。コアボットはWindowsシステムディレクトリに永続化し、キー入力保存、構成データ、暗号化されたボット実行ファイル用の隠しファイルを作成します。IOActiveの技術分析によると、ZeusはNtQueryDirectoryFile API関数をフックし、ファイルシステム検査時にディスク上のファイルを隠します。

この急速な攻撃進行は、Zeusのモジュラーアーキテクチャに依存しており、犯罪者は再感染させることなく個別機能を更新できます。

Zeusマルウェアのコアコンポーネント

各コンポーネントを理解することで、攻撃チェーン全体で検知機会を特定できます。

• 隠しファイルシステム： Zeusは\windows\system32\lowsec\で動作し、キー入力保存（user.ds）、構成（local.ds）、暗号化ボット実行ファイル用の隠しファイルを持ちます。ZeusはNtQueryDirectoryFileをフックし、これらのファイルを標準検知ツールから隠します。
• コマンド＆コントロールインフラ： 従来のZeusはHTTP GET/POSTによる集中型C2で構成・流出を行っていました。GameOver Zeusはこの弱点をP2Pアーキテクチャで排除し、感染システム同士が直接通信することで、CISAによればテイクダウンを大幅に困難化しました。
• ブラウザインジェクションモジュール： ZeusはFirefox、Chrome、IE用のブラウザ固有モジュールを持ち、暗号化前にフォームデータを取得し、バンキングページに悪意のあるコンテンツを注入します。構成ファイルの更新により、再感染なしで新たな銀行を標的にできます。

これらのアーキテクチャコンポーネントが、バンキング認証情報や金融データを直接侵害するZeusのコア攻撃能力を実現しています。

Zeusマルウェアの主な機能

• フォームグラビング： マルウェアはウェブフォーム入力時にアプリケーション層でデータを傍受します。ユーザー名を入力すると、Zeusはブラウザが暗号化する前にそのデータを取得します。これはウェブサイトのセキュリティ実装に関係なく発生します。なぜなら、Zeusは暗号化処理の手前で動作するためです。
• ウェブインジェクション： Zeusはバンキングウェブサイトをリアルタイムで改ざんし、正規ページに悪意のあるJavaScriptやHTMLを注入します。銀行が要求しない追加のフォームフィールドが表示されます。これらのフィールドは銀行のスタイルを正確に模倣しているため、正規インターフェースと見分けがつきません。
• キーロギング： フォームグラビングが失敗した場合のバックアップとして、完全なキー入力の取得を行います。Zeusはカーネルレベルのフックで全キー入力を記録し、user.dsの隠しファイルに保存、追加情報としてスクリーンショットも取得します。
• 認証情報の流出： Zeusは盗んだ認証情報をパッケージ化し、HTTP POSTリクエストでC2インフラに送信します。Cisco Talos Intelligenceによると、マルウェアのPOSTリクエストは同一ファイル名を使用し、オペレーターがセッションを関連付けてユーザープロファイルを再構築できます。

これらの機能により、Zeusは一度インストールされると壊滅的な被害をもたらします。そのため、感染前に認証情報窃取を阻止するために、その伝播手法を理解することが重要です。

Zeusトロイの木馬の拡散方法

Zeusの拡散は自動ワーム動作ではなく、ソーシャルエンジニアリングに依存しています。

• フィッシングキャンペーン： CISAの2010年3月のZeus警告では、FBI、IRS、大手金融機関を装ったフィッシングキャンペーンが広範囲に展開されたと記録されています。ソーシャルエンジニアリングは緊急性を利用し、受信者が正当性を確認する前にクリックを促しました。
• エクスプロイトキット： Zeusオペレーターはエクスプロイトキットインフラを通じてマルウェアを配布し、ブラウザの脆弱性を自動的に悪用しました。侵害されたウェブサイトを訪問すると、エクスプロイトキットがブラウザをプロファイリングし、未修正の脆弱性を狙ったエクスプロイトを配信します。
• 侵害された正規ウェブサイト： Zeusの拡散は、明らかに悪意のあるインフラではなく、信頼されたウェブサイトを頻繁に利用しました。ユーザーは馴染みのあるドメインを訪れ、信頼していたサイトからZeusに感染しました。
• 二次ペイロード配信： GameOver Zeusのオペレーションでは、認証情報窃取と並行してCryptoLockerランサムウェアも配布されました。Zeusを除去した場合は、追加の持続的脅威も調査してください。

これらの経路でZeusが環境に侵入した場合、認証情報流出が完了する前にアクティブな感染を検知するための信頼できるインジケーターが必要です。

Zbot感染のインジケーター（IOC）

Zeusのポリモーフィック暗号化により各感染が一意となるため、シグネチャベースの検知は非現実的です。行動検知やネットワークベースのインジケーターが必要です。

1. ネットワーク行動パターン： Cisco Talos Intelligenceによると、Zeusは特徴的なトラフィックパターンを示します。HTTP GETリクエストでContent-Type application/octet-streamのバイナリ構成ブロブを受信し、直後にペアのHTTP POSTリクエストで登録を完了します。
2. メモリフォレンジックアーティファクト： Volatilityフレームワークを使用する場合、PAGE_EXECUTE_READWRITE保護のプライベートメモリ領域（0x00b70000）を探してください。ここにZeusのメインボットイメージが展開されます。
3. MITRE ATT&CKマッピング行動： cmd /c systeminfoコマンド（T1082）によるシステム情報の取得、永続化メカニズム作成やAPIフックによるレジストリ改変、キーロギングやフォームグラビング、プロセスインジェクションやメモリベース実行、HTTPビーコンパターンの相関を監視します。
4. 検知原則： Zeusは複数の疑わしい行動を連携して示すため、これらのインジケーターを相関させてください。悪意のある行動に着目した行動検知は、Zeusのポリモーフィック亜種に対してシグネチャベースより効果的です。
5. 検証済みサンプルハッシュ： ANY.RUNやMalwareBazaarは確認済みのZeusサンプルリポジトリを維持しています。SHA-256ハッシュ18022d8613b4c36e502f9962ce27d4bb9f099d5659d44f82683b63f704873dcfは、観察可能な感染特性を持つ確認済みZeus亜種を示します。ただし、ハッシュベースの検知はポリモーフィック亜種が感染ごとに新しいハッシュを生成するため、時点的な価値しかありません。

何を探すべきかを知るだけでは不十分です。これらのIOCを実際の検知に変換するには、適切なツールと手法が必要です。

Zeusトロイの木馬マルウェアの検知方法

Zeusは複数の回避技術を用いるため、シグネチャベースの検知は機能しません。Secureworksによると、Zeusバージョン1.4でポリモーフィック暗号化が導入され、各感染が一意となりました。

• 行動分析要件： カーネルプロセスの動作やメモリ使用パターンを監視する エンドポイント検知を導入してください。ZeusはAPIフックによるステルス、メモリインジェクションによる実行、バンキング認証情報傍受のためのフォームグラビング、キーロギングなど、亜種を超えて共通する行動を示します。SentinelOneの Behavioral AI Engineは、カーネルレベルのプロセス動作を監視し、ポリモーフィック暗号化に関係なくZeus亜種を検知します。
• ネットワークトラフィック分析： C2インフラへのネットワークビーコン動作は信頼性の高い検知を提供します。Zeusは構成受信や認証情報流出のために外部サーバーと通信する必要があります。 脅威インテリジェンス機能により、トラフィックパターン分析でZeus C2通信を検知できます。
• エンドポイント検知と対応：  XDRは、プロセスインジェクション、DLLロード、APIフック動作の可視化を提供する必要があります。

検知により環境内でZeusの存在が確認された場合、認証情報の露出を最小限に抑えるため、迅速かつ徹底した除去が重要です。

システムからZeusマルウェアを除去する方法

Zeusの除去には、マルウェア駆除と同時に認証情報の完全なリセットが必要です。マルウェア自体の除去だけでは不十分で、盗まれた認証情報は除去後も有効なまま残ります。

• 即時封じ込め： 除去作業開始前に感染システムをネットワークから隔離します。DNSおよびファイアウォールでZeus C2ドメインをブロックします。
• フォレンジック保全： システムシャットダウン前にメモリダンプを取得します。Volatilityフレームワークでプロセスインジェクションの指標を分析します。
• マルウェア駆除： カーネルレベルの行動監視を備えたEDRソリューションを導入し、Zeusの回避技術を検知します。SentinelOneの自律型対応機能は、マシンスピードでZeus感染を修復し、 Ransomware Rollbackで攻撃前の状態にシステムを復元します。
• アイデンティティ修復： 感染デバイスからアクセスしたすべてのアプリケーションのパスワードをリセットします。すべてのウェブセッションと認証トークンを無効化します。
• 検証と監視： 複数のスキャン手法でマルウェア完全除去を確認します。再感染指標のため、影響を受けたシステムを30日以上監視します。

リアクティブな除去は即時感染への対応ですが、Zeusの初期侵入自体を防ぐことがより高いセキュリティ価値をもたらします。

Zeusトロイの木馬攻撃を防ぐためのベストプラクティス

Zeusの防御には、多層防御アーキテクチャが必要です。単一のコントロールだけではバンキングトロイを確実に阻止できません。

• ネットワークセグメンテーション： ワークステーションが機密データを含むサーバーに直接アクセスできないようにネットワークを分割します。
• ゼロトラストアーキテクチャ： NIST SP 800-207 ゼロトラストアーキテクチャ原則を導入し、ネットワークの場所に関係なくすべてのアクセス要求を信頼しないものとして扱います。
• セッション監視付き多要素認証： MFAは、アカウントアクセス前に2つ以上の認証手段を要求することで保護を提供します。ただし、Zeusはマン・イン・ザ・ブラウザ技術でセッションベース認証を回避できるため、MFA単独では不十分です。
• 行動検知システム： シグネチャベースを超えたエンドポイント保護を導入します。Zeusはコードシグネチャに依存しない特定の行動パターンを示します。
• 継続的監視インフラ： 認証情報流出前にZeus C2パターンを継続的に監視します。SentinelOneの Purple AIは自然言語で脅威調査を効率化し、AIによる分析、自動要約、脅威ハンティング用の推奨クエリでSecOpsを加速します。
• 規制遵守： 金融機関はCIRCIAに従い、NISTサイバーセキュリティフレームワークのコントロールを実装し、インシデントを報告する必要があります。

これらのベストプラクティスを実装することで強固な防御基盤を構築できますが、現代のバンキングトロイには同様に現代的な検知・対応能力が求められます。

SentinelOneでZeusトロイの木馬の脅威を阻止

Zeus亜種の検知と阻止には、コード難読化に関係なくカーネルプロセス動作やメモリ使用パターンの監視が必要です。SentinelOneのBehavioral AI Engineは、プロセスやファイルの行動を監視し、コードシグネチャではなく行動でZeusを特定します。プラットフォームはフォレンジック詳細をSingularity Data Lakeに自動記録します。

SentinelOneの Singularity Platformは、自律型対応機能を提供し、重大な認証情報窃取が発生する前に脅威を検知・阻止します。複数のAI搭載検知エンジンが連携し、ランタイム攻撃に対するマシンスピードの保護を実現。行動分析により、疑わしいプロセス活動パターンを特定します。

• 行動脅威検知： SentinelOneのStatic AI Engineは5億以上のマルウェアサンプルで学習し、ファイル構造の悪意特性を検査。Behavioral AI Engineはリアルタイムで悪意の意図や行動を人手なしで評価します。
• 自律型対応とロールバック： SentinelOneのSingularity Platformは人手を介さずマシンスピードでエンドポイントを修復します。Ransomware Rollbackにより、攻撃前の状態にデータを復元可能です。
• Storylineフォレンジック調査： SentinelOneの特許取得済み Storyline技術は、エンタープライズ環境全体のイベントデータを自動的に監視・追跡・文脈化し、手動分析なしで関連イベントを相関させてリアルタイムで攻撃を再構築します。
• Purple AIによる調査加速： Purple AIは自然言語で脅威調査を効率化し、AIによる分析と実用的なインサイトを提供。自動要約や推奨クエリでSecOpsの脅威ハンティングを迅速化します。

SentinelOneは行動AI検知でZeus亜種を自律的に阻止します。 SentinelOneデモをリクエストし、実際の環境で体験してください。

重要なポイント

Zeusはブラウザレベルでの認証情報傍受を現代バンキング脅威の主要手法として確立しました。Zeusのポリモーフィック暗号化は従来のアンチウイルスを無効化するため、コードシグネチャに依存せず悪意のある行動を特定する行動検知システムを導入してください。 

Zeusがシステムを侵害した場合、マルウェア除去だけでは問題の半分しか解決しません。完全な修復には、アクセスしたすべてのアプリケーションの認証情報を即時リセットする必要があります。行動AI、多層防御、ゼロトラストアーキテクチャ、アイデンティティ中心のインシデント対応を組み合わせて、Zeus由来の脅威を撃退してください。