全3285文字
PR

 近年、インターネットにおける最大の脅威はランサムウエアと言っても過言ではない。攻撃者はランサムウエアを使って、新型コロナウイルス禍の医療機関や教育機関を次々と襲っている。

 そして次のターゲットは、2020年11月に実施される米国の大統領選挙だと予想されている。有権者のデータベースや投票結果の集計システムなど、選挙のインフラが狙われているという。

 米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)などは、外国が支援する攻撃者グループが選挙の混乱を狙って、選挙のインフラにランサムウエア攻撃を仕掛ける恐れがあるとして警戒を強めている。

 実際米メディアは9月末、州などが投票結果の表示に使うソフトウエアを手がけるベンダーがランサムウエアの被害に遭ったと報じている。

 ランサムウエアの被害を拡大している元凶の1つがボットネットである。ボットネットとはマルウエア(コンピューターウイルス)に感染したコンピューターで構成されるネットワークのこと。

 ボットネットはC&C(コマンド・アンド・コントロール)サーバーから攻撃者の命令を受け取り、協調して動作する。ボットネットは不正送金やDDoS攻撃、スパム(迷惑メール)の送信、フィッシング詐欺などに使われるが、ランサムウエアの感染拡大にも使われている。

ボットネットを使ったサイバー犯罪の例
ボットネットを使ったサイバー犯罪の例
(作製:日経クロステック)
[画像のクリックで拡大表示]

 C&Cサーバーの命令に従ってランサムウエアをダウンロードし、ボットネットを構成しているコンピューターに感染させたり、別のコンピューターにメールなどで送信したりする。

 このためランサムウエアの感染拡大防止にはボットネットを潰すことが効果的だ。そしてボットネットを潰すには、C&Cサーバーを利用不能にするのが手っ取り早い。

 そこで米Microsoft(マイクロソフト)や通信事業者、セキュリティーベンダーなどで組織した対策チームは、TrickBotマルウエアのボットネットのC&Cサーバーを突き止め、2020年10月中旬に利用不能にしたことを明らかにした。C&Cサーバーを利用不能にしてボットネットを潰すことをテイクダウンという。

 大統領選挙までに残された時間はわずかだ。そのためマイクロソフトらはある「秘策」を繰り出した。

数百万台で構成される巨大ボットネット

 TrickBotはボットネットを形成するマルウエアの一種。ボットネットを形成するマルウエアはボットとも呼ばれる。TrickBotは有用なソフトウエアに見せかけてユーザーに実行させるのでトロイの木馬の一種でもある。

 TrickBotの特徴はモジュール型であること。プログラムの部品であるモジュールをダウンロードして組み込むことで機能を追加する。