Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ボットネット「Avalanche」の国内感染端末が約3分の2に - 依然1万台以上が感染中

同作戦では5人の容疑者が逮捕され、ホスティングされていたサーバ221台を停止。80万件以上のドメインを押収した。これらドメインの通信を分析してマルウェアの感染端末を特定しており、ドイツのCERT-Bundより同センターへ寄せられた日本国内の感染端末情報をもとに、関連機関が感染被害者に対して注意喚起を行っている。

20170621_jp_001.jpg
通信を行った感染端末数の推移(グラフ:JPCERT/CC)

同センターによれば、ボットネットへ通信を行った国内のマルウェア感染端末数は、2016年12月に1日あたり平均約1万7000件が観測されていたが、2017年5月31日時点で1日約1万1000件まで減少したという。

同ボットネットでは複数のマルウェアを利用しているが、2016年12月5日から2017年1月4日までの1カ月間に国内感染端末で検出されたマルウェアの比率は、「Carberp」「Vundo」としても知られる「Rovnix」が50%を占め、「KINS(13%)」が続いた。また「URLZone」や「Bebloh」といった別名を持つ「Shiotob」も1割ほどにのぼる。

ボットネット「Avalanche」で利用されたマルウェアは、今回のテイクダウン作戦によって無害化されたが、感染端末では無害化以前に情報が窃取されているおそれがある。

感染端末の管理者には、同センターを含む関連組織から注意喚起の連絡を実施。連絡を受けた場合は、最新の状態にしたセキュリティ対策ソフトによるスキャン、ウェブサービスのパスワードを変更するなど、対策を講じるよう求めている。

(Security NEXT - 2017/06/21 ) このエントリーをはてなブックマークに追加

PR

関連記事

ESETの脅威情報サービスを提供 - キヤノンMJ
「vBulletin」に修正パッチ - 国内でも攻撃を多数観測、早急に対応を
機械学習で攻撃元IPや攻撃種類を予測するサービス - TED
RDPに総当たり攻撃するボット「GoldBrute」 - 試行ごとに異なるIPアドレス
フロント企業で人材確保していた「FIN 7」 - リーダー逮捕後も活動継続
脆弱性で感染広げるボットネット「Muhstik」 - 「WebLogic」を標的に
「Drupal」脆弱性で感染を拡大するボット「Muhstik」見つかる
アダルトサイト有料会員狙う攻撃が拡大 - ダークウェブで売買されるアカウント
画像ファイルに悪用コード隠す「ステガノグラフィ」 - 無償ツールが拡大後押しか
ボットネット「Cutwail」、日本狙うメール攻撃に新展開 - 画像に命令埋め込む「ステガノグラフィ」を悪用