先週のニュースを紹介します。Microsoftはホスティング会社であるNo-IPに対して、同社のサービスがサイバー犯罪者による悪意ある活動を放置して利益を得ているとして、法的な手段を講じました。また、先週はMinidukeのAPT攻撃が再び出現しました。
MicrosoftによるNo-IPドメイン差し止め
No-IPはダイナミックDNSサービスの事業者です。ほかのDNS事業者と同じように、ユーザーによるWebサイトのドメイン名購入を管理するのですが、ダイナミックDNSの違いは、簡単に言うと、管理者ユーザーがドメイン名とIPアドレスを簡単に更新できる点です。アンチウイルスエンジンによる検知を逃れたいサイバー犯罪者にとって、この機能は有益な手段になり得ます。アンチウイルスエンジンは、マルウェアをホストするWebサイトやボットネットを管理するサーバーとして使用されているIPアドレスをブロックするからです。ただ、残念なことに、今回のケースでは、悪意のない多数の企業もダイナミックDNSとNo-IPを利用しています。
Microsoftは、「サイバー犯罪者に頻繁にインフラを悪用され、罪のない人々がBladabindi(NJrat)やJenxcus(NJw0rm)ファミリーのマルウェアに感染させられるのは、そのインフラを所有するNo-IPに責任がある」と主張します。No-IPは、自分たちがマルウェアの活動を支援しているという主張に異議を唱えています。
マルウェアの活動を阻止する手段の1つとしてMicrosoftがとった行動は、保全命令の申し立てでした。ドメインを差し押さえるとともに、シンクホールを実行して、悪意ある活動に使用されていたドメインをMicrosoftの管理下にある別のドメインに変更するための法的権限を求めたのです。シンクホールとは、以前も話題にのぼりましたが、ボットネットなどのマルウェアの活動を阻止する方法として広く利用されているもので、さまざまな形で使用されています。
Threatpostで説明しているように、リサーチャーは多くの場合、ホスティング企業と協力して、悪意あるドメインからリサーチャーや法執行機関の管理するドメインにトラフィックを変更し、活動手段を断ち切ります。問題なのは、今回No-IPはMicrosoftからの連絡がなかったと主張している点です。
この決定はセキュリティコミュニティで大きな話題となりました。物議を醸し出している理由は非常に典型的で、法執行機関ではなくMicrosoftという自社独自の価値観を持った民間企業が、なぜほかの企業や個人グループに対して強制的と見なされるような行動をとる権限を持ち得るのかというものです。基本的に、一部の人々にとっては、Microsoftが自社の利益に基づいてインターネットを取り締まっているように映るのです。残念ながら、今回はこうした批判が特に大きくなりました。Microsoftが今回の差し止めを実行する際、多数の正当なWebサイトへのアクセスを誤って遮断してしまったからです。
Global Research and Analysis Team(GReAT)ディレクターのコスティン・ライウ(Costin Raiu)による解説記事をこちらでご覧ください。
Minidukeが再び出現
MinidukeのAPT攻撃が再び現れました。Kaspersky Labのリサーチャーが初めてこのマルウェアのスパイ行為を発見したのは、2013年2月のことです。当時は、主に欧州政府に対してスパイ活動を展開していました。この時、MinidukeはほかのAPT攻撃と比べて独特な点がいくつかありました。たとえば、このマルウェアは通信の一部にTwitterを使用していますし、感染先のコンピューターにあるマルウェアを更新するための実行ファイルはGIFファイルに隠されていました。
今回の第2波では、先週のSecurelistの記事で検証されているように、1年におよぶ活動中断を経て攻撃範囲が拡大し、複雑さが増したようです。この活動では、政府や軍隊、エネルギー関連組織を標的とするだけでなく、オンラインの医薬品販売業者、なかでもホルモン剤やステロイドを扱う業者からもデータを盗んでいます。さらに、展開されたマルウェアは標的から情報を盗むと、その情報を細かく分解して拡散するため、リサーチャーはこの活動を把握するのが以前よりも困難になりました。
Cosmicdukeと呼ばれる新しいMinidukeには、より多くの情報をより効率よく盗むためのツールがあります。詳細を伝えたThreatpostの記事をご覧ください。
先週の注目 #セキュリティニュース:Microsoftによる #No-IP への処置、#Miniduke #APT 攻撃が再び出現
Tweet