フランス国家警察のC3N(デジタル犯罪対策センター)とEUのアンチウィルス・ソフトの大手Avast(アヴァスト)は共同作戦で850万台のコンピュータを乗っ取っていた大規模ボットネットを壊滅させた。
Retadupの亜種は仮想通貨マイニングのためにワームによってコンピュータからコンピュータへ感染を拡大させるマルウェアだ。通常はコンピュータの低負荷時にユーザーに気づかれないようCPUパワーを盗むが、仮想通貨発掘機能と同じくらい容易にスパイウェアやランサムウェアをインストールできる。
2017年に登場して以後、このマルウェアは米国、ロシア、中南米に急速に拡大した。
Avastのブログ記事によれば、作戦は大成功だったという。
チェコ共和国の有力テクノロジー企業であるAvastが壊滅作戦に参加することとなったのは同社のセキュリティ専門家がマルウェアのサーバーソフトに重大な脆弱性を発見したことがきっかけだった。Avastによれば、この脆弱性を利用して「被害者のデバイスに新たなソフトをインストールする必要なしにマルウェアを除去できる」可能性があった。
ただし私企業であるAvastにこの手法でマルウェアを除去する法的権限がなかった。Retadupマルウェアのインフラの大部分がフランスに所在していたため、Avastはフランス国家警察に接触した。この6月に作戦にゴーサインが出たため、フランス警察とAvastはマルウェアの一掃の乗り出した。
フランス警察によれば、このボットネットを「世界最大級のネットワーク」だった。対策チームはサーバー運営会社の協力を得てマルウェア・ネットワークをコントロールしていたサーバーのスナップショットを撮った。マルウェア側に作戦を気づかれて証拠隠滅や報復攻撃を招かないよう、細心の注意が必要だった。
Avastによれば、Retadupネットワークの運営者たちは大部分が暗号通貨採掘者で自ら動くことなしに密かに大金を得ていた。しかしもし壊滅作戦が進行中だと気づけば、マルウェアを浸かって何十万台ものコンピュータにランサムウェアを仕込み、最後の荒稼ぎに出る可能性があった」。
セキュリティ対策チームはマルウェアのサーバーのコピーを作成したが、この独自コピーは被害にあっているコンピュータからマルウェアを取り除く機能が付与されていた。Avastのブログ記事にはこう書かれている。
(フランス警察とAvastは)マルウェアをコントロールするサーバーを 汚染除去用のサーバーで置き換えた。このレプリカサーバーはRetadupを自爆させる機能を持っていた。
マルウエアに感染した何千台ものコンピュータがサーバーからコマンドを得よう得ようとした瞬間、マルウェアに内在するバグを利用して、レプリカサーバーが取って代わりマルウエアを除去した。
Avastは85万台のコンピュータからマルウェアを取り除くことに成功したという。今回のようにマルウェアをリモートで除去できたのhが大きな成果だが、実行には多大の困難があった。
フランス国家警察のサイバー対策のトップであるJean-Dominique Nollet(ジーン-ドミニク・ノレ)氏によれば、このボットネットの運営者には数百万ユーロの暗号通貨を採掘したものがいたという。
数年前、米連邦政府はルール41(連邦刑事訴訟規則第41条)の制限を撤廃し、連邦判事は管轄外の地域に所在するコンピュータに対しても捜索と差し押さえの令状を発行できるようにした。これはFBIが国外のコンピュータをハッキングできるようにするためと見られている。
「捜査機関に友好的な判事の1通の令状によって世界中の無数のコンピュータがハッキングされる危険がある」と非難する声も一部にある。
この改正により、Joanapボットネットと呼ばれる北朝鮮の大規模なサイバー攻撃をシャットダウンさせることに成功している。
【Japan編集部追記】C3Nはフランス国家警察のデジタル犯罪対策センター(le centre de lutte contre les criminalités numériques)
[原文へ]
(翻訳:滑川海彦@Facebook)