Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

検索結果から不正サイトに誘導するボットネット「Bamital」が停止へ

米Microsoftと米Symantecは協力し、感染端末は800万台を越えると見られるボットネット「Bamital」のテイクダウンに成功した。

「Bamital」は、2009年より活動していたボットネット。感染したボット端末では、ブラウザから検索エンジンを利用して検索結果をクリックすると、表示とは異なる攻撃者が指定した不正サイトへ誘導され、情報が詐取されたり、マルウェアの多重感染を引き起こす。また広告をクリックさせる機能も備えていた。

検索結果の不正操作では、ユーザーが検索結果からセキュリティ対策ソフト「Norton Internet Security」のオフィシャルページへアクセスしようとすると、偽セキュリティ対策ソフトを配布するページにリダイレクトされてしまうケースなどもあった。

「Bamital」のおもな感染経路は、ドライブバイダウンロード攻撃やP2Pネットワークで、2011年に1カ月半にわたり実施された調査では、180万のユニークなIPがコマンド&コントロールサーバと通信し、1日あたり300万クリックが乗っ取られていた。過去2年間に攻撃を受けた端末は800万台を越えるという。

「オペレーションb58」と名付けられた今回の作戦では、法的対策と技術面からの対策により実施され、1月末にMicrosoftがコマンド&コントロールサーバの遮断を求め、米連邦裁判所へ被疑者不明のまま、30ページにわたる訴状を提出。裁判所は2月6日に訴えを認め、米連邦保安官によって証拠品などが押収された。

現在も感染端末が多数稼働していると見られており、両社では、感染した端末で検索した際に、マルウェア感染を告知し、削除する方法について案内するオフィシャルページへ誘導するよう対応した。

(Security NEXT - 2013/02/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

未感染者にも及ぶ「Emotet」被害 - なりすまされ、約10万件のメール
クリプトマイナーの感染攻撃に「Spring4Shell」を悪用
20以上の言語に対応、脅威情報の調査報告サービス
「Spring4Shell」狙う攻撃が発生 - ボット「Mirai」感染活動に悪用
脆弱性対策ベンダーが「Log4Shell」を「最悪の脆弱性」と評価した理由
HTTPS通信の脅威遮断、前年比3.1倍に - 約9割がマルウェア
脅威情報を活用してC&C通信を検知するSaaS型サービス
「Emotet」感染後の対応、「駆除」だけでは不十分
2020年の攻撃通信パケット、前年比1.5倍 - NICTまとめ
「Emotet」を追い詰めた「Ladybird作戦」 - 攻撃者がバックアップ保有の可能性も