米マイクロソフトやセキュリティーベンダー、通信事業者などで組織した対策チームは2020年10月中旬、100万台以上の「TrickBot▼」感染コンピューターで構成されるボットネットをテイクダウン▼したことを明らかにした。マイクロソフトなどがボットネットを潰したのはこれが初めてではない。だが今回は、今までにない「切り札」を使ったという。
TrickBotが猛威を振るう
近年、インターネットにおける最大の脅威はランサムウエアと言っても過言ではない。攻撃者はランサムウエアを使って、新型コロナウイルス禍の医療機関や教育機関などを次々と襲っている。
ランサムウエアの被害を拡大している元凶の1つがボットネットである。ボットネットとはマルウエア(悪質なプログラム)に感染したコンピューターで構成されるネットワークのこと(図1)。
ボットネットはC&C▼サーバーから攻撃者の命令を受け取り、協調して動作する。ボットネットはDDoS▼攻撃やフィッシング詐欺、迷惑メール(スパム)の送信などに使われるが、ランサムウエアの感染拡大にも使われている。
C&Cサーバーの命令に従ってランサムウエアをダウンロードし、ボットネットを構成しているコンピューターに感染させたり、別のコンピューターにメールなどで送信したりする。
TrickBotが最初に確認されたのは2016年。当初は感染したパソコンでオンラインバンキングの情報を盗むマルウエアとして知られていた。だがその後、様々な機能を備えたTrickBotが次々と出現している。その機能の1つが、前述のようなランサムウエアの感染拡大である。TrickBotは世界中で100万台以上のコンピューターに感染してボットネットを形成し、多くのランサムウエア攻撃に用いられてきた(図2)。
そこでマイクロソフトらはこのボットネットをテイクダウンさせるために国際的な対策チームを結成した。対策チームには、主に米国の金融機関で構成されるセキュリティー組織FS-ISAC▼、スロバキアのイーセット、米ルーメンテクノロジーズ、米ブロードコムの一部門であるシマンテック、そして国内からはNTTが参加した。
