Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

検索結果から不正サイトに誘導するボットネット「Bamital」が停止へ

米Microsoftと米Symantecは協力し、感染端末は800万台を越えると見られるボットネット「Bamital」のテイクダウンに成功した。

「Bamital」は、2009年より活動していたボットネット。感染したボット端末では、ブラウザから検索エンジンを利用して検索結果をクリックすると、表示とは異なる攻撃者が指定した不正サイトへ誘導され、情報が詐取されたり、マルウェアの多重感染を引き起こす。また広告をクリックさせる機能も備えていた。

検索結果の不正操作では、ユーザーが検索結果からセキュリティ対策ソフト「Norton Internet Security」のオフィシャルページへアクセスしようとすると、偽セキュリティ対策ソフトを配布するページにリダイレクトされてしまうケースなどもあった。

「Bamital」のおもな感染経路は、ドライブバイダウンロード攻撃やP2Pネットワークで、2011年に1カ月半にわたり実施された調査では、180万のユニークなIPがコマンド&コントロールサーバと通信し、1日あたり300万クリックが乗っ取られていた。過去2年間に攻撃を受けた端末は800万台を越えるという。

「オペレーションb58」と名付けられた今回の作戦では、法的対策と技術面からの対策により実施され、1月末にMicrosoftがコマンド&コントロールサーバの遮断を求め、米連邦裁判所へ被疑者不明のまま、30ページにわたる訴状を提出。裁判所は2月6日に訴えを認め、米連邦保安官によって証拠品などが押収された。

現在も感染端末が多数稼働していると見られており、両社では、感染した端末で検索した際に、マルウェア感染を告知し、削除する方法について案内するオフィシャルページへ誘導するよう対応した。

(Security NEXT - 2013/02/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

「環境変数ファイル」など狙うマルウェア「Androxgh0st」
外部から見える脆弱性や闇ウェブ情報など監視するサービス
「VioStor NVR」の脆弱性に注意 - 「Mirai」亜種の拡大に悪用
「ラピッドリセット攻撃」が発生 - 1秒間で約4億リクエスト
マルウェアによるアカウント情報の窃取 - 2割強の企業で
「CODE BLUE 2023」のタイムテーブル - 脆弱性関連の講演充実
国際連携でボットネット「QakBot」が解体 - 展開済みマルウェアに注意を
「ICTサイバーセキュリティ総合対策2023」を公表 - 総務省
用語理解に格差、経営層とセキュ担当者の対話に断絶も
Windows経由でIoT機器に感染広げるボットネット - 標的は「Minecraft」