Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

検索結果から不正サイトに誘導するボットネット「Bamital」が停止へ

米Microsoftと米Symantecは協力し、感染端末は800万台を越えると見られるボットネット「Bamital」のテイクダウンに成功した。

「Bamital」は、2009年より活動していたボットネット。感染したボット端末では、ブラウザから検索エンジンを利用して検索結果をクリックすると、表示とは異なる攻撃者が指定した不正サイトへ誘導され、情報が詐取されたり、マルウェアの多重感染を引き起こす。また広告をクリックさせる機能も備えていた。

検索結果の不正操作では、ユーザーが検索結果からセキュリティ対策ソフト「Norton Internet Security」のオフィシャルページへアクセスしようとすると、偽セキュリティ対策ソフトを配布するページにリダイレクトされてしまうケースなどもあった。

「Bamital」のおもな感染経路は、ドライブバイダウンロード攻撃やP2Pネットワークで、2011年に1カ月半にわたり実施された調査では、180万のユニークなIPがコマンド&コントロールサーバと通信し、1日あたり300万クリックが乗っ取られていた。過去2年間に攻撃を受けた端末は800万台を越えるという。

「オペレーションb58」と名付けられた今回の作戦では、法的対策と技術面からの対策により実施され、1月末にMicrosoftがコマンド&コントロールサーバの遮断を求め、米連邦裁判所へ被疑者不明のまま、30ページにわたる訴状を提出。裁判所は2月6日に訴えを認め、米連邦保安官によって証拠品などが押収された。

現在も感染端末が多数稼働していると見られており、両社では、感染した端末で検索した際に、マルウェア感染を告知し、削除する方法について案内するオフィシャルページへ誘導するよう対応した。

(Security NEXT - 2013/02/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

JPCERT/CC、都内でアナリスト向けのカンファレンスイベント
Kaspersky Labとインターポール、脅威情報共有の協定を更新
マルウェア感染メールの割合が5カ月連続で上昇 - 「Necurs」復活が影響か
5月はウェブ経由の攻撃が増加 - 新ランサム「Jaff」の拡散も
ボットネット「Avalanche」の国内感染端末が約3分の2に - 依然1万台以上が感染中
海外製ネットワークカメラの脆弱性狙うアクセス - OEM展開で1000機種以上に影響
2016年は新種ランサムが88%増 - ただし2016年4Qは7割減
3月にウェブ経由の攻撃が増加、前月の1.5倍に - 「Necurs」復活でスパム増加の兆し
総務省ら、ISP経由でマルウェア感染者に注意喚起 - 欧州大規模掃討作戦で得られた情報を活用
2月はマルウェアが急増、前月の3倍に - 「Kovter」が活発化