Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

検索結果から不正サイトに誘導するボットネット「Bamital」が停止へ

米Microsoftと米Symantecは協力し、感染端末は800万台を越えると見られるボットネット「Bamital」のテイクダウンに成功した。

「Bamital」は、2009年より活動していたボットネット。感染したボット端末では、ブラウザから検索エンジンを利用して検索結果をクリックすると、表示とは異なる攻撃者が指定した不正サイトへ誘導され、情報が詐取されたり、マルウェアの多重感染を引き起こす。また広告をクリックさせる機能も備えていた。

検索結果の不正操作では、ユーザーが検索結果からセキュリティ対策ソフト「Norton Internet Security」のオフィシャルページへアクセスしようとすると、偽セキュリティ対策ソフトを配布するページにリダイレクトされてしまうケースなどもあった。

「Bamital」のおもな感染経路は、ドライブバイダウンロード攻撃やP2Pネットワークで、2011年に1カ月半にわたり実施された調査では、180万のユニークなIPがコマンド&コントロールサーバと通信し、1日あたり300万クリックが乗っ取られていた。過去2年間に攻撃を受けた端末は800万台を越えるという。

「オペレーションb58」と名付けられた今回の作戦では、法的対策と技術面からの対策により実施され、1月末にMicrosoftがコマンド&コントロールサーバの遮断を求め、米連邦裁判所へ被疑者不明のまま、30ページにわたる訴状を提出。裁判所は2月6日に訴えを認め、米連邦保安官によって証拠品などが押収された。

現在も感染端末が多数稼働していると見られており、両社では、感染した端末で検索した際に、マルウェア感染を告知し、削除する方法について案内するオフィシャルページへ誘導するよう対応した。

(Security NEXT - 2013/02/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Emotet」感染後の対応、「駆除」だけでは不十分
2020年の攻撃通信パケット、前年比1.5倍 - NICTまとめ
「Emotet」を追い詰めた「Ladybird作戦」 - 攻撃者がバックアップ保有の可能性も
欧米警察が協力、「Emotet」をテイクダウン - 被害チェックサイトも
「Docker API」狙う攻撃に注意 - 9月ごろより増加
狙われるZyxel製ネットワーク管理製品の脆弱性 - ボットネットも標的に
EOLのマルウェア侵入対策製品がボットネットの標的に
ESETの脅威情報サービスを提供 - キヤノンMJ
「vBulletin」に修正パッチ - 国内でも攻撃を多数観測、早急に対応を
機械学習で攻撃元IPや攻撃種類を予測するサービス - TED