検索
ニュース

190カ国、77万台に感染した「Simda」ボットネット、インターポール主導で撲滅作戦官民のスピード感の「差」に課題も

国際刑事警察機構(インターポール)が、190カ国にまたがる77万台以上のPCに感染したと見られるボットネット「Simda」のテイクダウン作戦を実施。作戦には複数のセキュリティ企業が協力した。

Share
Tweet
LINE
Hatena

 国際刑事警察機構(インターポール)は2015年4月13日、全世界で77万台以上のPCに感染したと見られるボットネット「Simda」のテイクダウン作戦を2015年4月9日に実施したことを発表した。

 この作戦は、サイバー犯罪対策に関する研究開発や捜査支援を目的としてインターポールがシンガポールに設立した「The INTERPOL Global Complex for Innovation(IGCI)」が統括した。

 作戦は、4月9日に全世界で同時進行で行われた。オランダで10台のC&Cサーバーが押収された他、アメリカ、ロシア、ルクセンブルグ、ポーランドに置かれたC&Cサーバーがテイクダウンされた。また、エンドユーザーが感染の有無をチェックできるWebサイトも用意している。

 同作戦は、米FBIやオランダ、ルクセンブルグのハイテク犯罪捜査当局、ロシア内務省のサイバー犯罪部門「K」といった各国の法執行機関とともに、マイクロソフト、Kaspersky Lab、トレンドマイクロ、サイバーディフェンス研究所といった民間企業が協力して実行された。IGCIの目的である「官民連携によるサイバー犯罪撲滅」を体現する一例だという。

 Simdaは、主にオンラインバンクの利用者を狙うボットネットだ。正規のWebサイトを改ざんし、アクセスしてきたユーザーのPCの脆弱性を突いて感染する、いわゆる「水飲み場攻撃」によって、米国やイギリス、ロシア、カナダやトルコなど190カ国で77万台以上のPCに感染した。感染すると複数のマルウエアが送り込まれ、オンラインバンクのパスワードなどが盗み取られる恐れがある。

 テイクダウン作戦に協力した民間セキュリティ企業の調査によって、Simdaは、感染PCのhostsファイルを改変し、FacebookやBing、Yahoo、Google Analyticsといった有名なWebサイトにアクセスしようとすると、不正なサイトに誘導する仕組みになっていることが明らかになった。このうちKaspersky Labは、Simbaの特徴を「ペイ・パー・インストール」型のマルウエアであり、次々に新たなバックドアをインストールできる点にあると報告している。

190カ国にまたがるサイバー犯罪捜査

 Simda以前にも、「Game Over Zeus」をはじめ、捜査機関と民間企業の協力によるボットネットのテイクダウン作戦はいくつか実施されてきた。つい先日の4月10日にも、警視庁が総務省などと協力し、「ネットバンキングウイルス無力化作戦」を実施したことを明らかにしている。

 インターポールがこうした作戦を統括することによって、当事者の数カ国だけでなく、世界190カ国にまたがるコーディネーションが可能になった点が特徴だという。IDCCのディレクター、Sanjay Virmani氏は「この作戦が成功したことは、世界的なサイバー犯罪の脅威に立ち向かうために国内外の法執行当局と民間企業が協力することが重要であることを示している」とコメントしている。


Kaspersky Labの調査組織、GReATのプリンシパルセキュリティリサーチャーを務めるVitaly Kamluk氏

 Kaspersyk LabからIGCIの調査活動を支援しているVitaly Kamluk氏は、「これまでも法執行機関と民間企業が協力することはあったが、ある特定の国と企業の間に限られる関係だった。IGCIがコーディネーターとなることによって、190カ国もの当局が連携して、サイバー犯罪に関する捜査を進めることができる」と、今回の取り組みを評価し、それが犯罪者の検挙につながると期待した。

 ただ、「一方で課題もある。一番の課題は『スピード』だ。民間企業の場合、何か問題を解決する必要があるとなればすぐに取り組むという文化がある。しかもサイバー犯罪に関しては、数分の遅れが命取りになり、証拠を逃す恐れもある。こうした民間のスピード感に近づけてもらうことが課題だ」(同氏)。それでも「こうした取り組みが今後も継続していくことを期待している」という。

 Simdaのテイクダウン作戦では、まずマイクロソフトが関連情報を提供し、その内容をKaspersky Labが検証するとともに、テレメトリーデータを通じて感染PCの分布状況を確認した。またトレンドマイクロは、関連するサーバーのIPアドレスや利用された不正プログラムの統計情報などを提供。サイバーディフェンス研究所はマルウエア検体の解析を主導し、暗号や難読化の解除ツールを提供したという。Simbaに感染しているかどうかを検査できるサイトも用意されている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  8. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  9. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
  10. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
ページトップに戻る