マカフィー株式会社 公式ブログ

intel-security®, Inc.

McAfee Labs] 2015年4月10日 更新

ポリモーフィック型ボットネット撲滅に向けた掃討作戦

 

今週、世界各国の警察機関は、Intel Securityと連携し、ボットネット型マルウェア「Beebone」の撲滅に成功しました。Intel SecurityがW32/Worm-AAEHとして検出したポリモーフィック型ワームの背後で暗躍するこのワームは、侵入したデバイスに他の複数のマルウェアをダウンロードさせます。これらの勝手にダウンロードされるマルウェアには、オンラインバンキングのパスワードを盗むZBot、ルートキットのNecursやZeroAccess、スパムボットのCutwail、偽ウイルス対策ソフト、ランサムウェアなどが含まれます。このワームは他のマシンにも急速に広まり、さらにセキュリティソフトウェアに検出されることなくデバイスに居座れるよう、自身を定期的に新しいバージョンにアップデートします。

Intel Securityでは、主に米国を中心に、日本、インド、台湾、ドイツ、英国などの主要国で、W32/Worm-AAEHのユニークサンプルが500万種類以上存在することを把握しています。

2014年9月には、McAfee Labsのテレメトリー解析で、195か国のシステム(その大半は米国内に存在)で10万件以上の感染を検出しました。それ以降、最近ではMcAfee Labsによって検出された感染端末数は12,000台に減少しましたが、これは主として当社製品がこれらの攻撃を効果的にブロックしたことによるものです。

このボットネット掃討作戦は、「Operation Source」と呼ばれ、欧州刑事警察機構(ユーロポール)および 対サイバー犯罪組織(Joint Cybercrime Action Taskforce:J-CAT)の主導で行われました。この作戦では、欧州連合(EU)の大半の加盟国とパートナーである世界各国の警察機関が協調して行動しました。J-CATの取り組みを主導したのは、オランダのハイテク犯罪ユニット(Dutch High Tech Crime Unit)で、米連邦捜査局(FBI)も支援しています。

J-CATは、サイバー犯罪対策のために設立された効果的な多国間プラットフォームとして産官学の各組織と協力し、世界で深刻度の高いサイバー脅威の特定、その影響の緩和、そしてそれを実行するサイバー犯罪者の検挙に取り組んでいます。

Intel Security、Kaspersky LabおよびShadowserverも、今回の撲滅作戦を支援しました。Shadowserverは、技術調査スキル、およびワームとそれを支えるボットネットに関する豊富な情報を提供しました。ワームやボットネットの詳細については、McAfee Labsの「Catch Me If You Can: Antics of a Polymorphic Botnet(検出の難しいポリモーフィック型ボットネットの異様な振る舞い)」レポート(英文のみ)をご参照ください。

ボットネットの通信インフラを殲滅するのは、対策のほんの一部に過ぎません。感染したシステムの修復も同様に重要です。しかし、ボットネットが防御システムを回避するような手段を取るため、この取り組みは困難を極めました。ボットネットはワームのフィンガープリントを1日に何度も変更するだけでなく、セキュリティベンダーのウェブサイト(mcafee.comを含む)への接続を積極的にブロックします。次の画像にはこの様子が示されています。

Polybotnet2

W32/Worm-AAEHはセキュリティソフトウェア会社への接続をブロックするため、感染したシステムが除去ツールをダウンロードするのが困難な場合があります。この障害を克服するために、今回の作戦に不可欠なサポートを提供したShadowserverのチームは、ツールを直接ダウンロードできるウェブサイトを構築しました。マカフィー製品のユーザーは、次のサイトから除去ツールを入手できます。
http://www.mcafee.com/us/downloads/free-tools/stinger.aspx.

Intel Securityでは、サイバーセキュリティ対策に官民の協力が重要だと考えています。今回の作戦によって、増大し続けるサイバー犯罪の脅威を減速させるには、各組織の歩調を合わせた対応策が不可欠であることが明確に示されたと考えています。

※本ページの内容は McAfee Blog の抄訳です。

原文: Takedown Stops Polymorphic Botnet

著者: Intel Security
EMEA地域担当 CTO ラージ・サマニ(Raj Samani)
McAfee Labs シニアバイスプレジデント(Vincent Weafer)

 

日本最大級の情報セキュリティ カンファレンス FOCUS JAPAN 2016 の開催が決定!早期登録した方には、一般公開より1週間早いセッション登録期間をご案内!
必見 ランサムウェア情報 身代金被害急増中!

Also Find Us On

マカフィーは、インテルコーポレーション(NASDAQ:INTC)の完全子会社であり、企業、官公庁・自治体、個人ユーザーが安全にインターネットの恩恵を享受できるよう、世界中のシステム、ネットワーク、モバイルデバイスを守るプロアクティブで定評のあるセキュリティソリューションやサービスを提供しています。詳しくは、http://www.mcafee.com/jp/をご覧ください。

 

© 2003-2016 McAfee, Inc. All Rights Reserved.