トム バート (Tom Burt)
カスタマーセキュリティ&トラスト 担当
コーポレートバイスプレジデント
※ 本発表は、米国時間 10 月 12 日 に公開された “New action to combat ransomware ahead of U.S. elections” の抄訳です。
マイクロソフトは本日、TrickBot というボットネットの撲滅に向けた措置を講じました。TrickBot の悪質な活動は、世界的な脅威として知られるところとなっており、ランサムウェアを広範囲に拡散しているボットネットです。
米国政府や専門家が警告しているように、ランサムウェアは次期大統領選挙の中でも最大規模の脅威となっています。敵はランサムウェアを駆使し、有権者名簿の維持や選挙後の結果報告に使われるコンピュータシステムを感染させ、混乱と不信感を与えるために最大の効果を発揮するタイミングを見極めてシステムを支配下に置くのです。
そこでマイクロソフトは、裁判所命令による法的措置と共に、世界各国の通信事業者様と協力して技術的に可能な措置を実施することで、TrickBot の活動を封じ込めました。これによって主要な通信手段が遮断されたため、TrickBot を操作している人物が新たな感染を引き起こすことができなくなっただけではなく、すでにコンピュータシステムに投下されていたランサムウェアの活動を有効化させることもできなくなりました。
今回の措置により、米国選挙インフラをランサムウェア攻撃から保護できることはもちろん、TrickBot が有効化したさまざまなマルウェア感染から多くの組織を守ることにもつながります。その保護の対象となるのは、金融サービス機関や政府機関、医療施設、企業、大学など、幅広く存在します。
TrickBot のボットネット
TrickBot は、2016 年後半より世界 100 万台以上のコンピュータデバイスを感染させています。ボットを運用する者の正体は明確にはわかっていませんが、調査によって示唆されているのは、運用者はさまざまな目的を持って国家と犯罪ネットワークの双方に向けて活動しているのではないかということです。
マイクロソフトでは、TrickBot を調査する過程で約 6 万 1000 件の TrickBot マルウェアを分析しました。このボットが非常に危険なのは、常に進化するモジュール型の機能を持ち、運用者の目的達成に向け「マルウェア アズ ア サービス」モデルで被害者を感染させているためです。運用者は彼らの依頼者対し、感染したマシンへのアクセス権を提供できるほか、ランサムウェアをはじめとするさまざまな形態のマルウェア配信メカニズムを用意しています。Trickbot はエンドユーザーのコンピュータに感染するだけでなく、ルータなど「モノのインターネット、すなわち IoT」関連デバイスにも感染し、その感染範囲を家庭や組織にまで広げています。
TrickBot の運用者は、さまざまな目的によってモジュール型の機能を維持できるだけでなく、社会の発展に応じてテクニックを変更することにも長けていることがわかっています。マルウェア配信に使われる TrickBot のスパムやスピアフィッシングキャンペーンには、Black Lives Matter や COVID-19 といったテーマも含まれており、こうしたテーマで悪意のある文書やリンクをクリックするよう仕向けているのです。Microsoft Office 365 Advanced Threat Detection にて確認したデータによると、COVID-19 をテーマにしたエサを使って最も幅広くマルウェアを運用しているのは TrickBot であることもわかっています。
撲滅に向けた仕組みと新たな法的戦術
マイクロソフトは、バージニア州東部地区の連邦地方裁判所が、当社の TrickBot に対する差止請求を認める決定を行ったことを受けて、即日措置をとりました。
今回対象となったケースを調査する中で、マイクロソフトは TrickBot が被害者のコンピュータと通信し、制御する際に利用していたインフラや、感染したコンピュータ同士の通信方法、さらには検知を回避し操作を妨害しようとする TrickBot のメカニズムなど、さまざまな TrickBot の運用の詳細を把握しました。感染したコンピュータがコマンド&コントロールサーバに接続し、指示を受けている状況等を観察した結果、そのサーバの正確な IP アドレスが特定できたのです。この証拠を提示したことで、裁判所はマイクロソフトとパートナーが IP アドレスを無効化できることを認めた他、コマンド&コントロールサーバに保存されているコンテンツにアクセスできないようにすることや、ボットネット運用者への全サービスの停止、TrickBot 運用者による追加サーバの購入やリースの阻止を認めました。
今回の対策を実行するにあたり、マイクロソフトは業界および通信プロバイダーで構成される国際的なグループを結成しました。マイクロソフトの Digital Crimes Unit (DCU) が、検知や分析、遠隔測定、リバースエンジニアリングなどの調査活動を主導、今回の法的措置を支える追加のデータやインサイトは、Microsoft Defender チームのほか、FS-ISAC、ESET、Lumen の Black Lotus Labs、NTT、Broadcom の一部門である Symantec など、世界的なパートナーネットワークより入手しました。被害修復に向けたさらなる活動は、世界中のインターネットサービスプロバイダー (ISP) やコンピュータ緊急事態対応チーム (CERT) がサポートしています。
今回の措置には、マイクロソフトの DCU が今回初めて試みた新たな法的アプローチが含まれています。今回の法的な措置については、TrickBot のマイクロソフトのソフトウェアコードの悪意ある使用に対する著作権法上の申し立ても含まれています。このアプローチは、マルウェア拡散を阻止するマイクロソフトの取り組みが更に進化していることを示す重要な証であり、類似の法律が整備されている世界の多くの国のお客様を保護するためにも、民事訴訟という可能性を提示するものとなっています。
マイクロソフトでは、TrickBot がすぐに活動再開に向けた取り組みを進めるだろうということも想定済みです。今後もマイクロソフトはパートナーと協力して TrickBot の動きを常に監視し、活動を阻止する追加の法的および技術的措置を講じる予定です。
その他分野への影響
TrickBot は、選挙への脅威はもちろんのこと、マルウェアを使ってオンラインバンキングのウェブサイトでさまざまな人や金融機関の資金を盗難することでも知られています。その標的となっているのは、世界的な銀行や決済処理業者、地域の信用組合など、さまざまな金融機関です。そのため、今回の訴訟でも金融サービス情報共有および分析センター (FS-ISAC: Financial Services Information Sharing and Analysis Center) が、マイクロソフトにとっての重要なパートナーとなり、共同原告となっています。
TrickBot に感染したコンピュータを使っている人が金融機関のウェブサイトにログインしようとすると、TrickBot は活動を実行して密かにユーザーのブラウザを乗っ取り、金融機関のオンラインログイン認証情報やその他個人情報を取得、その情報を犯罪者に送信します。TrickBot はその存在を隠すよう設計されているため、ユーザーが TrickBot の活動に気づくことはありません。TrickBot が感染者のログイン認証情報や個人情報を取得すると、ボット運用者がその情報を使って銀行口座にアクセスします。感染者は通常のログインプロセスを行っているため、裏で監視され盗難につながっていることには通常気づかないのです。
また、TrickBot は暗号ランサムウェアの Ryuk を拡散することでも知られています。Ryuk は、公的機関や民間企業を幅広く攻撃する際に使われているランサムウェアです。ランサムウェアは壊滅的な影響を及ぼす可能性があり、最近ではドイツの病院の IT ネットワークを停止させ、緊急治療が必要だった女性が死亡するまでに至っています。Ryuk が洗練された暗号ランサムウェアとされているのは、ネットワークファイルを識別して暗号化し、Windows システムの復元を無効化して外部バックアップなしでは攻撃から回復できないようにするためです。Ryuk はこれまでに、地方自治体や州裁判所、病院、老人ホーム、企業、大規模な大学など、さまざまな組織を攻撃してきました。例えば、国防総省の請負業者への攻撃や、ノースカロライナ州ダーラム市への攻撃、110 件の老人ホームを管理する IT プロバイダーへの攻撃、さらには COVID-19 のパンデミック下における数々の病院を対象とした攻撃は、Ryuk に起因するものだとされています。
選挙のセキュリティとマルウェア対策
先月 Microsoft Digital Defense Report でお伝えしたように、ランサムウェアは増加傾向にあります。マイクロソフトでは、ランサムウェアやさまざまな攻撃からの保護を希望する選挙関連組織に対し、AccountGuard という脅威通知サービスを無償で提供しています。現在 AccountGuard は世界で 200 万件以上のメールアカウントを保護しており、これまでに AccountGuard が登録者に対して通知した国別の攻撃通知件数は 1500 件以上にのぼっています。また、インテリジェントで安全なデフォルト設定によって Microsoft 365 が簡単に設定できる Microsoft 365 for Campaigns も低価格で提供しています。さらに、事前対策型のレジリエンシーサービスと対応型インシデントレスポンスを提供する Election Security Advisors も、キャンペーンや選挙関係者に向けて低価格にて用意しています。
マイクロソフトの DCU では、今後も民主的プロセスに関わる組織や、マイクロソフトのお客様全体の保護に向けた活動に取り組んでいきます。マイクロソフトは 2010 年以来、DCU を通じて法執行機関やその他パートナーと協力し、23 件のマルウェアや国家および州レベルでの攻撃に対応、5 億台以上のデバイスをサイバー犯罪者から守り、支援しています。今回の民事訴訟により、新たな法的戦術によって著作権法に基づく権利行使を行い、マイクロソフトのインフラストラクチャの保護、言い換えれば、マイクロソフトのソフトウェアコードが犯罪に使用されることを阻止する措置をとりました。著作権法はコンピュータ犯罪に関する法律よりも一般的なため、この新たなアプローチによって、より多くの世界の司法制度下においても犯罪者を追求できるのではなかと考えています。
ご自身のコンピュータがマルウェアに感染していないか確認するには、support.microsoft.com/botnets をご覧ください。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
