Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

検索結果から不正サイトに誘導するボットネット「Bamital」が停止へ

米Microsoftと米Symantecは協力し、感染端末は800万台を越えると見られるボットネット「Bamital」のテイクダウンに成功した。

「Bamital」は、2009年より活動していたボットネット。感染したボット端末では、ブラウザから検索エンジンを利用して検索結果をクリックすると、表示とは異なる攻撃者が指定した不正サイトへ誘導され、情報が詐取されたり、マルウェアの多重感染を引き起こす。また広告をクリックさせる機能も備えていた。

検索結果の不正操作では、ユーザーが検索結果からセキュリティ対策ソフト「Norton Internet Security」のオフィシャルページへアクセスしようとすると、偽セキュリティ対策ソフトを配布するページにリダイレクトされてしまうケースなどもあった。

「Bamital」のおもな感染経路は、ドライブバイダウンロード攻撃やP2Pネットワークで、2011年に1カ月半にわたり実施された調査では、180万のユニークなIPがコマンド&コントロールサーバと通信し、1日あたり300万クリックが乗っ取られていた。過去2年間に攻撃を受けた端末は800万台を越えるという。

「オペレーションb58」と名付けられた今回の作戦では、法的対策と技術面からの対策により実施され、1月末にMicrosoftがコマンド&コントロールサーバの遮断を求め、米連邦裁判所へ被疑者不明のまま、30ページにわたる訴状を提出。裁判所は2月6日に訴えを認め、米連邦保安官によって証拠品などが押収された。

現在も感染端末が多数稼働していると見られており、両社では、感染した端末で検索した際に、マルウェア感染を告知し、削除する方法について案内するオフィシャルページへ誘導するよう対応した。

(Security NEXT - 2013/02/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

日本語メールで不正「iqyファイル」が大量流通 - 国内IPでのみ感染活動を展開
カスペルスキーのサイバー脅威マップが日本語対応
複数「WebLogic Server」脆弱性、早くも悪用や実証コード
フィッシング対策や脆弱性公開に尽力した専門家に感謝状 - JPCERT/CC
1週間に2400件超のサイト改ざん - 詐欺サイト誘導の踏み台に
米政府、北朝鮮攻撃グループが悪用したマルウェア「Joanap」「Brambul」の情報を公開
「Drupal」脆弱性で感染を拡大するボット「Muhstik」見つかる
【特別企画】セキュアなIoT活用の重要性が問われる時代に - 安田浩氏
マルウェア亜種の減少傾向続く - マルウェアメールの割合は上昇
国内企業の2割、「DDoS」被害経験 - ランサムウェアは7%