今週、世界各国の警察機関は、Intel Securityと連携し、ボットネット型マルウェア「Beebone」の撲滅に成功しました。Intel SecurityがW32/Worm-AAEHとして検出したポリモーフィック型ワームの背後で暗躍するこのワームは、侵入したデバイスに他の複数のマルウェアをダウンロードさせます。これらの勝手にダウンロードされるマルウェアには、オンラインバンキングのパスワードを盗むZBot、ルートキットのNecursやZeroAccess、スパムボットのCutwail、偽ウイルス対策ソフト、ランサムウェアなどが含まれます。このワームは他のマシンにも急速に広まり、さらにセキュリティソフトウェアに検出されることなくデバイスに居座れるよう、自身を定期的に新しいバージョンにアップデートします。
Intel Securityでは、主に米国を中心に、日本、インド、台湾、ドイツ、英国などの主要国で、W32/Worm-AAEHのユニークサンプルが500万種類以上存在することを把握しています。
2014年9月には、McAfee Labsのテレメトリー解析で、195か国のシステム(その大半は米国内に存在)で10万件以上の感染を検出しました。それ以降、最近ではMcAfee Labsによって検出された感染端末数は12,000台に減少しましたが、これは主として当社製品がこれらの攻撃を効果的にブロックしたことによるものです。
このボットネット掃討作戦は、「Operation Source」と呼ばれ、欧州刑事警察機構(ユーロポール)および 対サイバー犯罪組織(Joint Cybercrime Action Taskforce:J-CAT)の主導で行われました。この作戦では、欧州連合(EU)の大半の加盟国とパートナーである世界各国の警察機関が協調して行動しました。J-CATの取り組みを主導したのは、オランダのハイテク犯罪ユニット(Dutch High Tech Crime Unit)で、米連邦捜査局(FBI)も支援しています。
J-CATは、サイバー犯罪対策のために設立された効果的な多国間プラットフォームとして産官学の各組織と協力し、世界で深刻度の高いサイバー脅威の特定、その影響の緩和、そしてそれを実行するサイバー犯罪者の検挙に取り組んでいます。
Intel Security、Kaspersky LabおよびShadowserverも、今回の撲滅作戦を支援しました。Shadowserverは、技術調査スキル、およびワームとそれを支えるボットネットに関する豊富な情報を提供しました。ワームやボットネットの詳細については、McAfee Labsの「Catch Me If You Can: Antics of a Polymorphic Botnet(検出の難しいポリモーフィック型ボットネットの異様な振る舞い)」レポート(英文のみ)をご参照ください。
ボットネットの通信インフラを殲滅するのは、対策のほんの一部に過ぎません。感染したシステムの修復も同様に重要です。しかし、ボットネットが防御システムを回避するような手段を取るため、この取り組みは困難を極めました。ボットネットはワームのフィンガープリントを1日に何度も変更するだけでなく、セキュリティベンダーのウェブサイト(mcafee.comを含む)への接続を積極的にブロックします。次の画像にはこの様子が示されています。
W32/Worm-AAEHはセキュリティソフトウェア会社への接続をブロックするため、感染したシステムが除去ツールをダウンロードするのが困難な場合があります。この障害を克服するために、今回の作戦に不可欠なサポートを提供したShadowserverのチームは、ツールを直接ダウンロードできるウェブサイトを構築しました。マカフィー製品のユーザーは、次のサイトから除去ツールを入手できます。
http://www.mcafee.com/us/downloads/free-tools/stinger.aspx.
著者: Intel Security
EMEA地域担当 CTO ラージ・サマニ(Raj Samani)
McAfee Labs シニアバイスプレジデント(Vincent Weafer)