FBIら、オンライン銀行詐欺マルウエア「Dridex」ボットネットを遮断と発表：引き続き警戒を

米司法省は2015年10月13日（米国時間）、オンラインバンキングのアカウント情報を盗み取り、銀行口座から金銭を窃取する目的で用いられるマルウエア「Dridex」が展開するネットワーク（ボットネット）を遮断したと発表した。

[＠IT]

　米司法省は2015年10月13日（米国時間）、オンラインバンキングのアカウント情報を盗み取り、不正送金により金銭を窃取するなどの目的で用いられるマルウエア「Dridex」のボットネットを遮断（テイクダウン）したと発表した。ただし、これによりDridexの活動が完全に終息するわけではないため、引き続き警戒が必要だ。

　Dridexは「Bugat v5」などとも呼ばれるマルウエア。感染したコンピューターは、管理者権限をのっとられることで攻撃者の支配下に置かれ、攻撃者のC＆C（Command and Control）サーバーから遠隔で操つられる「ボット」になる。また、Webブラウザーでのオンラインバンキング利用時などに、キーロギングやスクリーンショットの取得、HTMLインジェクションなどの方法で、アカウント情報を盗み取られる可能性が生まれる。このマルウエアによる被害は世界中に及んでおり、米国国内だけでも約1000万ドル（およそ12億円）がだまし取られているという。

　拡散には多くの場合、メールが用いられる。メールの受信者が添付されたMicrosoft Word文書などを開き、マクロを実行してしまうと、背後でマルウエアがダウンロードされて感染する仕組みだ。

　Dridexをめぐっては、このマルウエアを使用した詐欺などに関わった疑いで、2015年9月にキプロスで30歳のモルドバ人男性が逮捕され、その後米国で共謀や詐欺、電子計算機損壊などの罪で起訴されていた。米司法省の発表によれば、この男性の逮捕以後、米連邦捜査局（FBI）や英国家犯罪対策庁（NCA）などの捜査機関の他、Dell SecureWorksリサーチチームなどの民間セキュリティ企業が国際的に協力し、マルウエアによる不正な通信をリダイレクトし、無効化するいわゆる「シンクホール」などの方法を用いてDridexのボットネットをテイクダウンしたという。

　しかしながら、こうした取り組みにより一時的に一部のボットネットを封じることができたとしても、Dridexを含むマルウエアの感染が完全に終息するわけではない。海外メディアの報道でも「Dridexは近いうちに再び拡散する」あるいは「さらに高度化されたマルウエアが出現する可能性がある」といった意見が見られる。同様の攻撃に備える意味でも、引き続き警戒を緩めないことが重要だろう。Dridexのようなメールを用いた攻撃への対処方法については、ぜひ下記の関連記事を参考にしてほしい。