米FBI、マルウェア「VPNFilter」に感染したデバイスのネットワークを分断
FBIは関係機関と連携して、マルウェア「VPNFilter」の制御に使われていたドメインを差し押さえ、FBIがコントロールするサーバにトラフィックをリダイレクトさせる措置を講じた。
国家の関与が疑われる高度なマルウェア「VPNFilter」が世界中で感染を広げていると伝えられた問題に関連し、米連邦捜査局(FBI)は5月23日、同マルウェアに感染したルータやNASデバイス数十万台で形成されるボットネットネットワークを破壊するための措置を講じたと発表した。
FBIではこのボットネットネットワークについて、「Sofacy Group」(別名apt28、sandworm、x-agent、pawn storm、fancy bear、sednit)と呼ばれる集団が操っていたと断定している。
Sofacy Groupは2007年ごろから活動が確認され、政府機関や軍などを狙って偵察活動を続けているとFBIは説明。情報収集や貴重な情報の盗み出し、破壊活動などの目的で、ボットネットネットワークが利用される可能性もあったと推測する。
同集団については、セキュリティ企業FireEyeが2014年の時点でロシア政府が関与している可能性に言及し、その後発生した大規模サイバー攻撃との関係についてもセキュリティ各社が指摘していた。
FBIによると、VPNFilterは複数の段階で構成され、第2段階のマルウェアは感染したデバイスを再起動すれば消去できるが、第1段階のマルウェアは再起動後も常駐するため、再び第2段階に感染してしまう恐れがある。
このためFBIは関係機関と連携して、マルウェアの制御に使われていたドメインを差し押さえ、FBIがコントロールするサーバにトラフィックをリダイレクトさせる措置を講じたという。これによって感染したデバイスのIPアドレスを特定し、国内外の機関と連携して、マルウェアに関与した人物や集団を突き止めるための捜査に活用するとしている。
関連記事
- 高度なマルウェア「VPNFilter」、54カ国で感染拡大 一斉攻撃の恐れも
感染したデバイスに対して「kill」コマンドが実行されれば、大量のルータが同時に使用不能に陥る恐れもある。 - 各国の軍事情報を狙うサイバースパイ、ロシア政府が関与か
FireEyeは一連の攻撃について、「ロシア政府がスポンサーしている可能性が極めて大きい」と推測する。 - 「あなたのルーターに脆弱性あり、買い換えを」 そんなのアリ?
一見、理不尽に思えるこの対策ですが、実際のところは……。 - ルーターの設定書き換え攻撃、依然猛威 Androidデバイスの完全制御が狙いか
「今回のマルウェアの目的は、2段階認証情報を含むユーザーデータを盗み、Androidデバイスを完全な支配下に置くことにある」とKasperskyは推定する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.