ポリモーフィック型ボットネット撲滅に向けた掃討作戦

今週、世界各国の警察機関は、Intel Securityと連携し、ボットネット型マルウェア「Beebone」の撲滅に成功しました。Intel SecurityがW32/Worm-AAEHとして検出したポリモーフィック型ワームの背後で暗躍するこのワームは、侵入したデバイスに他の複数のマルウェアをダウンロードさせます。これらの勝手にダウンロードされるマルウェアには、オンラインバンキングのパスワードを盗むZBot、ルートキットのNecursやZeroAccess、スパムボットのCutwail、偽ウイルス対策ソフト、ランサムウェアなどが含まれます。このワームは他のマシンにも急速に広まり、さらにセキュリティソフトウェアに検出されることなくデバイスに居座れるよう、自身を定期的に新しいバージョンにアップデートします。

Intel Securityでは、主に米国を中心に、日本、インド、台湾、ドイツ、英国などの主要国で、W32/Worm-AAEHのユニークサンプルが500万種類以上存在することを把握しています。

2014年9月には、McAfee Labsのテレメトリー解析で、195か国のシステム(その大半は米国内に存在)で10万件以上の感染を検出しました。それ以降、最近ではMcAfee Labsによって検出された感染端末数は12,000台に減少しましたが、これは主として当社製品がこれらの攻撃を効果的にブロックしたことによるものです。

このボットネット掃討作戦は、「Operation Source」と呼ばれ、欧州刑事警察機構(ユーロポール)および 対サイバー犯罪組織(Joint Cybercrime Action Taskforce:J-CAT)の主導で行われました。この作戦では、欧州連合(EU)の大半の加盟国とパートナーである世界各国の警察機関が協調して行動しました。J-CATの取り組みを主導したのは、オランダのハイテク犯罪ユニット(Dutch High Tech Crime Unit)で、米連邦捜査局(FBI)も支援しています。

J-CATは、サイバー犯罪対策のために設立された効果的な多国間プラットフォームとして産官学の各組織と協力し、世界で深刻度の高いサイバー脅威の特定、その影響の緩和、そしてそれを実行するサイバー犯罪者の検挙に取り組んでいます。

Intel Security、Kaspersky LabおよびShadowserverも、今回の撲滅作戦を支援しました。Shadowserverは、技術調査スキル、およびワームとそれを支えるボットネットに関する豊富な情報を提供しました。ワームやボットネットの詳細については、McAfee Labsの「Catch Me If You Can: Antics of a Polymorphic Botnet(検出の難しいポリモーフィック型ボットネットの異様な振る舞い)」レポート(英文のみ)をご参照ください。

ボットネットの通信インフラを殲滅するのは、対策のほんの一部に過ぎません。感染したシステムの修復も同様に重要です。しかし、ボットネットが防御システムを回避するような手段を取るため、この取り組みは困難を極めました。ボットネットはワームのフィンガープリントを1日に何度も変更するだけでなく、セキュリティベンダーのウェブサイト(mcafee.comを含む)への接続を積極的にブロックします。次の画像にはこの様子が示されています。

Polybotnet2

W32/Worm-AAEHはセキュリティソフトウェア会社への接続をブロックするため、感染したシステムが除去ツールをダウンロードするのが困難な場合があります。この障害を克服するために、今回の作戦に不可欠なサポートを提供したShadowserverのチームは、ツールを直接ダウンロードできるウェブサイトを構築しました。マカフィー製品のユーザーは、次のサイトから除去ツールを入手できます。
http://www.mcafee.com/us/downloads/free-tools/stinger.aspx.

Intel Securityでは、サイバーセキュリティ対策に官民の協力が重要だと考えています。今回の作戦によって、増大し続けるサイバー犯罪の脅威を減速させるには、各組織の歩調を合わせた対応策が不可欠であることが明確に示されたと考えています。

※本ページの内容は McAfee Blog の抄訳です。

原文: Takedown Stops Polymorphic Botnet

著者: Intel Security
EMEA地域担当 CTO ラージ・サマニ(Raj Samani)
McAfee Labs シニアバイスプレジデント(Vincent Weafer)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速