複数のマルウェアを勝手にダウンロードする迷惑なボットネット、壊滅

マカフィーは同社のセキュリティブログ「McAfee Blog」で、ボットネット「Beebone」のテイクダウンに成功したと発表した。

Beeboneは、ポリモーフィック型ワームの背後で暗躍するワームで、侵入したデバイスに複数のマルウェアをダウンロードする挙動を見せる。勝手にダウンロードするマルウェアは、オンラインバンキングのパスワードを盗む「Zbot」やルートキットの「Necurs」「ZeroAccess」、スパムボット「Cutwail」、偽ウイルス対策ソフト、ランサムウェアなど多岐に渡る。

このワームは、ほかのPCにも急速に広まっているだけでなく、セキュリティソフトウェアに検出されないままデバイスに残り続けられるように定期的にアップデートされるという。米国を中心として日本やインド、台湾、ドイツ、英国といった主要国で見つかっており、亜種のユニークなサンプルが500万種類以上存在している。

2014年9月に、同社がテレメトリー解析を行ったところ、195カ国で10万台以上のBeeboneの感染が確認された。ただ、最近の調査では1万2000台まで感染端末は減少しており、包括的なテイクダウン作戦が功を奏したものだという。

ただ、ボットの通信インフラの撲滅は、対策の一部にしか過ぎないとマカフィーは説明する。理由としては、このボットネットが防御システムを回避する手段を講じるためだ。具体的には、ワームのフィンガープリントを1日に何度も変更するだけでなく、セキュリティベンダーのWebサイトへの接続を積極的にブロックしているのだという。

この挙動により、感染したシステムでワームの除去ツールをダウンロードしようとしてもうまくいかない場合がある。そのためセキュリティベンダーの一つであるShadowserverは、ツールを直接ダウンロードできるWebサイトを公開しており、マカフィーも同様のサイトを公開している。

Beeboneをテイクダウンするボットネット掃討作戦「Operation Source」は、欧州刑事警察機構(ユーロポール)や対サイバー犯罪組織(J-CAT)が主導。欧州連合(EU)の加盟国やパートナーの世界各国の警察機関が強調して行動したほか、オランダのハイテク犯罪ユニット、米連邦捜査局(FBI)も支援している。セキュリティベンダーでは、Intel Securityのほか、Kaspersky LabやShadowserverが参加した。