警察当局に摘発されたマルウェア、別組織が攻撃再開か

「関係者の逮捕や摘発で後退することはあっても、サイバー犯罪集団は企業やホームユーザーを脅かし続ける」と専門家は指摘する。

[鈴木聖子，ITmedia]

　米連邦捜査局（FBI）などが首謀者を摘発して活動を停止させたと発表していたマルウェアの「Dridex」（別名Bugat、Cridex）が、再浮上してフィッシング詐欺などの攻撃を再開しているという。米セキュリティ機関のSANS Internet Storm Centerが10月24日のブログで伝えた。

　Dridexを巡っては、米司法省が10月の発表で、首謀者とされるモルドバ人の男（30）が8月に逮捕され、米英の捜査当局が連携してDridexのボットネットを壊滅させたと発表していた。

ボットネットのテイクダウン成功を表明していた米司法省

　Dridexはオンラインバンキングの情報などを盗み出すマルウェアで、正規のメールに見せかけてユーザーをだますフィッシング詐欺の手口で被害者のコンピュータに感染する。被害総額はFBIの推定で少なくとも1000万ドル。司法省は摘発の発表の中で、「同マルウェアを壊滅させ、犯罪者を訴追したことは、この悪質なマルウェアにとっての打撃になる」としていた。

　SANSやセキュリティ企業のPalo Alto Networksによれば、実際にこの人物の逮捕を受け、9月中はDridexに感染させる悪質なスパムなどの攻撃は止んでいたという。

　ところが10月になって再びDridexを使ったフィッシング攻撃が浮上。Wordファイルのマクロを使ってユーザーを不正なURLに誘導し、Dridexをダウンロードさせるという手口も、摘発前に使われていた手口と同じだった。

　Palo Alto Networksによれば、攻撃は英国を中心に、日本でも発生しているという。

Dridexが標的にしている地域（Palo Alto Networksより）

　Dridexの再浮上について同社は、「関係者の逮捕や摘発で後退することはあっても、サイバー犯罪集団は企業やホームユーザーを脅かし続ける。たとえ首謀者が逮捕されても残った組織が活動を続け、あるいは他の犯罪集団がコントロールを握る。Dridexの再浮上はその実態を物語っている」と指摘している。