マルウェア「Qakbot」がテイクダウン 米国主導の大規模国際作戦の詳細：Cybersecurity Dive

米国はフランスやドイツなどの国と連携して全世界70万台以上のコンピュータに感染していたマルウェア「Qakbot」を破壊するための大規模な作戦を実行した。

[David Jones，Cybersecurity Dive]

　米国司法省は、全世界の70万台以上のコンピュータに感染し、数億ドル以上の損害をもたらしたマルウェア「Qakbot」を破壊するための大規模な国際作戦を公開した（注1）。

Qakbotテイクダウンに向けた国際作戦

　同マルウェアは「Qbot」や「Pinkslipbot」という別名でも知られている。主に悪意のある添付ファイルやハイパーリンクを含む電子メールメッセージを使用して重要インフラのシステムに感染させる目的で使用される。

　政府関係者によると、今回の作戦は米国主導のbotネットインフラの破壊としては最大規模だ。連邦政府当局は、さまざまな国で実行されるサイバー犯罪を妨害するためにフランスやドイツ、オランダ、イギリス、ルーマニア、ラトビアと協力して同作戦を実行した。

　米国連邦調査局（FBI）のディレクターであるクリストファー・レイ氏は2023年8月29日（現地時間）の声明で次のように述べた。

　「FBIは全世界のパートナーと連携して共同作戦を実行し、最も長く稼働していた犯罪botネットの一つを無力化した。私たちはサイバー犯罪組織、その支援者および彼らの資金の全てを標的にし続け、不正なインフラを利用して私たちを攻撃する能力を無力化し、解体する」

　FBIはbotネットのトラフィックを自社が管理するサーバにリダイレクトし（注2）、活動を妨害した。これによって、米国国内だけでも20万台以上のコンピュータが感染してたことが判明した。その他、当局は同作戦の一環として860万ドルの不正な暗号通貨を押収した。

　セキュリティ事業を営むZscalerの調査によると（注3）、2007年に初めて出現したQakbotは、バンキング型のトロイの木馬の一種であり、Webブラウザから金融データやログインに用いる認証情報を盗むために使用される。QakbotはCobalt Strikeのような悪意のあるコードを挿入するためのバックドアとしても使用される。

　Zscalerの関係者は、この出来事の中で法執行機関から「貴重な技術支援者」であると言及された。Zscalerの関係者は本記事に関するコメントを拒否した。

　米国司法省によると、ContiやEgregor、REVIL、Black Bastaなどの脅威グループは、コンピュータシステムへの初期感染にQakbotを使用していた。

　セキュリティ事業を営むHuntressの主要セキュリティ研究員であるジョン・ハモンド氏は「通常、Qakbotは可能な限り多くの潜在的な被害者に感染させるために、配信方法を自動化していた」と述べた。

　2022年11月、HuntressはQakbotの活動が400％増加したことを報告した（注4）。研究者によると、Microsoftがマクロを無効にし始めた後、Qakbotは悪意のある「OneNote」の添付ファイルを利用して攻撃を開始したという（注5）。

　FBIとオランダ国家警察は、盗まれた認証情報が使用されたかどうかを調べるためにアクセスできるWebサイトのリンクを設定している（注6）。

（注1）Qakbot Malware Disrupted in International Cyber Takedown（United States Attorney's Office）
（注2）APPLICATION FOR WARRANT BY TELEPHONE PURSUANT TO 18 U.S.C. § 2703（United States District Court）
（注3）Hibernating Qakbot: A Comprehensive Study and In-depth Campaign Analysis（zscaler）
（注4）Threat Advisory: Qakbot Activity Is Rising（HUNTRESS）
（注5）Surge in Cybercrime: Check Point 2023 Mid-Year Security Report Reveals 48 Ransomware Groups Have Breached Over 2,200 Victims（CHECK POINT）
（注6）Check your hack（POLITIE）

原文へのリンク