世界で77万台に感染したボットネット、各国連携で一斉摘発

INTERPOLや各国の捜査機関、Microsoftやサイバーディフェンス研究所などの民間企業が連携し、4月9日に各国で一斉摘発に乗り出した。

[鈴木聖子，ITmedia]

　国際刑事警察機構（INTERPOL）は4月13日、各国の捜査機関やIT企業と連携して、世界で77万台を超すコンピュータに感染していたボットネット「Simda」を摘発したと発表した。

　発表によると、4月9日に各国で一斉摘発に乗り出し、ボットネットの制御に使われていたサーバ10台をオランダで差し押さえたほか、米国、ロシア、ルクセンブルク、ポーランドのサーバもダウンさせた。

感染コンピュータでは「C:\Windows\System32\drivers\etc」フォルダに不正ファイルが置かれるという（サイバーディフェンス研究所より）

　Simdaは世界各地で感染が急増していることがビッグデータ分析で判明。INTERPOLとサイバーディフェンス研究所や米Microsoft、Kaspersky Lab、Trend Microなどのセキュリティ企業が協力して、Simdaの世界分布を示す「ヒートマップ」を作成するとともに、ボットネット制御サーバの所在を突き止めた。

　Simdaの活動は数年前から活発になり、ソフトウェアの脆弱性を突いて感染を拡大。検出を難しくしたバージョンが数時間ごとに生成され、配布されていた。個人や金融機関などを標的として、被害者のコンピュータにリモートでアクセスしてパスワードなどの情報を盗んだり、別のマルウェアをインストールしたりする目的で使われていたという。

　感染は世界190カ国に広がり、2015年の最初の2カ月の間に、米国だけで9万台の感染が検出されていた。

　Microsoftは無料セキュリティツールの「Microsoft Safety Scanner」や「Microsoft Security Essentials」「Windows Defender」でSimdaの検出・駆除に対応。Kaspersky Labは、自分のIPアドレスがSimdaのボットネットに加担させられていないかどうか診断できるWebサイトを開設した。Trend Microやサイバーディフェンス研究所も無料ウイルススキャンツールを提供している。