自分のPCがボットネットに組み込まれていないかチェックしよう

2015年4月16日
checkip_EN

マルウェアとはPCの通常の機能を完全に停止させるソフトウェアのこと。今も多くの人がそう考えています。コンピューターが問題なく動いているなら、感染していないということでしょうか?それは違います。最近のマルウェア作成者は、サイバー空間で暇を持て余している悪人ではありません。サイバー犯罪者の主な目的は、サイバー攻撃をしかけてスリルを味わうことではなく、お金を稼ぐことです。この目的のために、マルウェアのふるまいが正反対になることが往々にしてあります。つまり、優れたマルウェアほどユーザーの目に触れないのです。

simda-botnet-featured-VK

たとえば、このような「こっそりとした」ふるまいは、ボットネットによく見られます。通常は数千台程度のPCで構成されるネットワークですが、規模が大きなものだと何十万台にもなります。こうしたコンピューターのユーザーは、自分のPCが感染しているとは思いもしません。気が付くことと言えば、PCが少し遅くなったことくらいですが、PCの速度が落ちるのは別に珍しいことではありません。

ボットネットの狙いは、パスワード、社会保障番号、クレジットカード情報、住所、電話番号などの個人情報を収集することです。このデータが、なりすまし、各種詐欺行為、スパム送信、他のマルウェアの拡散といった犯罪に利用される可能性があります。ボットネットはWebサイトやネットワークへの攻撃にも使われます。

大規模なボットネットを閉鎖するには、多数の組織が一致協力し、多大な労力をつぎ込まねばなりません。最近の例では、Simdaボットネットの閉鎖がありました。このボットネットは、190か国以上770,000台超の感染コンピューターを擁していたと見られます。特に大きな影響を受けた国は、米国、英国、トルコ、カナダ、ロシアです。

JA_botnet-simda-countries

Simdaは「自動販売機」のようなボットネットで、違法ソフトウェアやさまざまなマルウェア(金融機関の認証情報を盗むマルウェアなど)の拡散に利用されていました。マルウェアの作成者は、インストールあたりの代金をSimdaのオーナーに支払えばよいだけ。見方を変えれば、このボットネットはマルウェア「メーカー」の巨大な取引所でもあったのです。

Simdaボットネットの活動は何年も続いていました。Simdaマルウェアの効果を高めるため、オーナーたちは新バージョンの開発に努め、数時間おきに作成しては配布していました。Kaspersky Labのウイルスデータベースには、Simdaマルウェアの各種バージョンに属する実行可能ファイルが、現時点で260,000個以上登録されています。

4月9日(木)、オランダ、米国、ルクセンブルク、ロシア、ポーランドに設置されたSimdaボットネットの指令サーバー(C&Cサーバー)14台を同時に閉鎖する作戦が実行されました。

この閉鎖作戦に関わった組織の名前を見れば、どれだけ込み入った作戦だったのかおわかりいただけるでしょう。国際刑事警察機構(インターポール)、Microsoft、Kaspersky Lab、トレンドマイクロ、サイバーディフェンス研究所、米連邦捜査局(FBI)、オランダの国家ハイテク犯罪ユニット(National High-Tech Crime Unit:NHTCU)、ルクセンブルクのPolice Grand-Ducale Section Nouvelles Technologies、ロシア内務省の「K」局が共同でサイバー犯罪者に立ち向かったのです。

「ボットネットは地理的に分散したネットワークであり、通常、こういったものを閉鎖するには困難が伴います。だからこそ、官民の連携による取り組みが必要不可欠です。この共同プロジェクトでは、参加組織それぞれが重要な役割を果たしています。Kaspersky Labの今回の役割は、ボットを技術的に分析すること、ボットネットの測定データをKaspersky Security Networkから収集すること、閉鎖作戦の戦略についてアドバイスすることでした」。Kaspersky Labのプリンシパルセキュリティリサーチャー、ヴィタリー・カムリュク(Vitaly Kamluk)はこのようにコメントしました。カムリュクは現在、インターポールと密接に連携しながら業務にあたっています。

調査は現在も続いているため、現時点でSimdaボットネットの黒幕を断定することはできません。私たち一般利用者にとって重要なのは、感染マシンとの通信に使われていた指令サーバーが、この壊滅作戦によって機能停止されたことです。これでSimdaボットネットの活動は停止しましたが、自分のPCが感染している場合は、このマルウェアをできるだけ早く駆除する必要があります。

Kaspersky Labは、Simdaボットネットの指令サーバーから得た情報をもとに診断ページを作成しました。このページでは、お使いのコンピューターのIPアドレスが、感染PCリストに載っているかどうかをチェックできます。

PCの安全を確認する方法は他にもあります。カスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)の無料体験版(30日間有効)をダウンロードすることもできます。もちろん、Simdaマルウェアはすべてのカスペルスキー製品で検知されます。Simdaボットネットについて詳しくは、Securelistをご覧ください。