190カ国、77万台に感染した「Simda」ボットネット、インターポール主導で撲滅作戦：官民のスピード感の「差」に課題も

　国際刑事警察機構（インターポール）は2015年4月13日、全世界で77万台以上のPCに感染したと見られるボットネット「Simda」のテイクダウン作戦を2015年4月9日に実施したことを発表した。

　この作戦は、サイバー犯罪対策に関する研究開発や捜査支援を目的としてインターポールがシンガポールに設立した「The INTERPOL Global Complex for Innovation（IGCI）」が統括した。

　作戦は、4月9日に全世界で同時進行で行われた。オランダで10台のC&Cサーバーが押収された他、アメリカ、ロシア、ルクセンブルグ、ポーランドに置かれたC&Cサーバーがテイクダウンされた。また、エンドユーザーが感染の有無をチェックできるWebサイトも用意している。

　同作戦は、米FBIやオランダ、ルクセンブルグのハイテク犯罪捜査当局、ロシア内務省のサイバー犯罪部門「K」といった各国の法執行機関とともに、マイクロソフト、Kaspersky Lab、トレンドマイクロ、サイバーディフェンス研究所といった民間企業が協力して実行された。IGCIの目的である「官民連携によるサイバー犯罪撲滅」を体現する一例だという。

　Simdaは、主にオンラインバンクの利用者を狙うボットネットだ。正規のWebサイトを改ざんし、アクセスしてきたユーザーのPCの脆弱性を突いて感染する、いわゆる「水飲み場攻撃」によって、米国やイギリス、ロシア、カナダやトルコなど190カ国で77万台以上のPCに感染した。感染すると複数のマルウエアが送り込まれ、オンラインバンクのパスワードなどが盗み取られる恐れがある。

　テイクダウン作戦に協力した民間セキュリティ企業の調査によって、Simdaは、感染PCのhostsファイルを改変し、FacebookやBing、Yahoo、Google Analyticsといった有名なWebサイトにアクセスしようとすると、不正なサイトに誘導する仕組みになっていることが明らかになった。このうちKaspersky Labは、Simbaの特徴を「ペイ・パー・インストール」型のマルウエアであり、次々に新たなバックドアをインストールできる点にあると報告している。

190カ国にまたがるサイバー犯罪捜査

　Simda以前にも、「Game Over Zeus」をはじめ、捜査機関と民間企業の協力によるボットネットのテイクダウン作戦はいくつか実施されてきた。つい先日の4月10日にも、警視庁が総務省などと協力し、「ネットバンキングウイルス無力化作戦」を実施したことを明らかにしている。

　インターポールがこうした作戦を統括することによって、当事者の数カ国だけでなく、世界190カ国にまたがるコーディネーションが可能になった点が特徴だという。IDCCのディレクター、Sanjay Virmani氏は「この作戦が成功したことは、世界的なサイバー犯罪の脅威に立ち向かうために国内外の法執行当局と民間企業が協力することが重要であることを示している」とコメントしている。

Kaspersky Labの調査組織、GReATのプリンシパルセキュリティリサーチャーを務めるVitaly Kamluk氏

　Kaspersyk LabからIGCIの調査活動を支援しているVitaly Kamluk氏は、「これまでも法執行機関と民間企業が協力することはあったが、ある特定の国と企業の間に限られる関係だった。IGCIがコーディネーターとなることによって、190カ国もの当局が連携して、サイバー犯罪に関する捜査を進めることができる」と、今回の取り組みを評価し、それが犯罪者の検挙につながると期待した。

　ただ、「一方で課題もある。一番の課題は『スピード』だ。民間企業の場合、何か問題を解決する必要があるとなればすぐに取り組むという文化がある。しかもサイバー犯罪に関しては、数分の遅れが命取りになり、証拠を逃す恐れもある。こうした民間のスピード感に近づけてもらうことが課題だ」（同氏）。それでも「こうした取り組みが今後も継続していくことを期待している」という。

　Simdaのテイクダウン作戦では、まずマイクロソフトが関連情報を提供し、その内容をKaspersky Labが検証するとともに、テレメトリーデータを通じて感染PCの分布状況を確認した。またトレンドマイクロは、関連するサーバーのIPアドレスや利用された不正プログラムの統計情報などを提供。サイバーディフェンス研究所はマルウエア検体の解析を主導し、暗号や難読化の解除ツールを提供したという。Simbaに感染しているかどうかを検査できるサイトも用意されている。