米FBI、マルウェア「VPNFilter」に感染したデバイスのネットワークを分断

[鈴木聖子，ITmedia]

　国家の関与が疑われる高度なマルウェア「VPNFilter」が世界中で感染を広げていると伝えられた問題に関連し、米連邦捜査局（FBI）は5月23日、同マルウェアに感染したルータやNASデバイス数十万台で形成されるボットネットネットワークを破壊するための措置を講じたと発表した。

　FBIではこのボットネットネットワークについて、「Sofacy Group」（別名apt28、sandworm、x-agent、pawn storm、fancy bear、sednit）と呼ばれる集団が操っていたと断定している。

　Sofacy Groupは2007年ごろから活動が確認され、政府機関や軍などを狙って偵察活動を続けているとFBIは説明。情報収集や貴重な情報の盗み出し、破壊活動などの目的で、ボットネットネットワークが利用される可能性もあったと推測する。

　同集団については、セキュリティ企業FireEyeが2014年の時点でロシア政府が関与している可能性に言及し、その後発生した大規模サイバー攻撃との関係についてもセキュリティ各社が指摘していた。

　FBIによると、VPNFilterは複数の段階で構成され、第2段階のマルウェアは感染したデバイスを再起動すれば消去できるが、第1段階のマルウェアは再起動後も常駐するため、再び第2段階に感染してしまう恐れがある。

VPNFilterの仕組み（出典：Cisco）

　このためFBIは関係機関と連携して、マルウェアの制御に使われていたドメインを差し押さえ、FBIがコントロールするサーバにトラフィックをリダイレクトさせる措置を講じたという。これによって感染したデバイスのIPアドレスを特定し、国内外の機関と連携して、マルウェアに関与した人物や集団を突き止めるための捜査に活用するとしている。