米MSら、ボットネット「Zeus」の制御サーバを差し押さえ

米Microsoftは、「Zeus」のボットネットで利用されているコマンド＆コントロールサーバを差し押さえ、悪用されていたIPアドレスを停止させたことを明らかにした。

同社によれば、FS-ISACやセキュリティベンダーと連携して実施したコードネーム「オペレーションB71」と呼ばれる作戦を経て実現したもの。

「Zeus」は、感染したコンピュータからインターネットバンキングやオンラインサービスのIDやパスワードを盗みだし、外部へ送信するボットプログラムや、作成ツールの総称。ブラックマーケットで売買されており、Microsoftでは米国内で300万人、ワールドワイドで1300万人が感染し、被害額は5億ドルに及ぶと見ている。

今回の作戦は、マルウェアの「Zeus」ファミリーもちろん、「Spyeye」「Ice IX」の亜種などの操作にも利用されているボットネットに標準をあわせ、実行された。

数カ月の調査のち、3月19日に被疑者不明のままコマンド＆コントロールサーバの停止について裁判所へ許可を申請。証拠保全のため、23日に2カ所で稼働していた物理的サーバの差し押さえた。さらに2件のIPアドレスを停止させている。

同社では、今回のテイクダウンにより、800のドメインが安全となったことを確認。またZeusへ感染した数千のコンピュータを把握できたという。

すべてのZeusボットネットを掃討したわけではないが、犯罪者に対して大きなインパクトを与えたと同社は説明。今回得た証拠や情報が、今後サイバー犯罪組織の弱体化やZeusに感染しているパソコンの復旧などにつながるとしている。

（Security NEXT - 2012/03/27 ） ツイート

PR

関連記事

乗換案内サイトで別の顧客情報を表示 - キャッシュ不備で
ASUS製ルータに認証回避の脆弱性 - アップデートの実施を
「あいちロボット産業クラスター推進協議会」のサイトが侵害 - 外部サイトへ誘導
ASUS製ルータの脆弱性、ベンダー発表以上に高リスク - 国内外で被害拡大
IIJ、「Mirai亜種」解析ツールを無償公開 - C2や感染傾向を可視化
米政府、バックアップソフトやIPカメラの脆弱性悪用に注意喚起
DDoS攻撃に注意喚起、発生を前提に対策を - 政府
初期パスワードの「Juniper SSR」でMirai感染 - 全バージョンに影響
問題の難易度のみに依存しない「kCAPTCHA」を開発 - KDDI
「Flowise」のチャットボットライブラリに脆弱性 - アップデートを