昨日、W32.Changeup ワームの背後にいる犯罪者が、「Operation Source(オペレーションソース)」と称する作戦によって、その運用インフラストラクチャのかなりの部分を停止に追い込まれ、壊滅的な打撃を受けました。これは欧州計画機構(Europol)や FBI などの法執行機関と、Intel Security や Kaspersky Lab などのセキュリティベンダーが参加した共同作戦でした。
シマンテックは Changeup ワームを広範囲でカバーしており、ウイルス対策と侵入検知の膨大な検出定義と、この脅威に関する詳しい調査もその一環です。逆に、そのこと自体が、全盛期には Changeup ワームがどれほど強大であったかを物語っています。
Changeup ワーム(別名 Beebone、Vobfus、VBNA)は 2009 年に登場し、たちまち有名になりました。Changeup はポリモーフィックワームであり、Windows の Autorun(自動実行)機能を利用して、最初はリムーバブルドライブやマップされたドライブを介してのみ拡散します。Changeup は Visual Basic(VB)で書かれています。VB でプログラムされたマルウェアに複雑な動作を実装するには一定以上のスキルが必要なので、これは一面では制限要因になりえますが、その反面セキュリティ研究者が解析する場合にも、かなりの時間と労力がかかることがあります。
Changeup が最初にその名を馳せたのは、登場から 1 年後、「Windows のショートカット 'LNK' ファイルに存在するファイル自動実行の脆弱性」(CVE-2010-2568)を悪用して拡散し始めたときのことです。CVE-2010-2568 を悪用すると、悪質な .lnk(ショートカットファイル)を含むフォルダの内容をユーザーが閲覧しただけで、コンピュータを感染させることができます。これは、Windows がショートカットファイルを適切に処理しないため、閲覧されただけのファイルを自動的に実行できてしまうことが原因でした。つまり、Changeup は Autorun 機能に依存する必要がなくなったのです。のちには、できるだけ多くのコンピュータに拡散すべく、ファイル共有アプリケーションも利用されるようになります。
Changeup ワームの機能は主として脅威を拡散することですが、油断できないのは Changeup がダウンロードするマルウェアの種類です。いくつかのミスリーディングアプリケーションをダウンロードするほか、Changeup は次の脅威もダウンロードすることが知られています。
これらの脅威の多くはバックドアを開くため、攻撃者は侵入先のコンピュータでいくらでも悪質な活動を実行できることになります。
今日までの感染の件数
Changeup の活動も最近は減少してきましたが、シマンテックの遠隔測定によると、検出の件数は 2014 年初めが 55,000 件で、1 年後にも 30,000 件をわずかに下回るくらいにとどまっています。今回の作戦のように、マルウェア拡散ネットワークを停止させる取り組みを続けなければならない理由は、こうした統計から明らかです。
図 1. Changeup 検出数の推移
影響を受けている地域
Changeup による感染のうち 11% は米国が占めており、10% を超える南アフリカが僅差でそれに続いています。シマンテックのデータを見ると、それ以外の各国でも相当の検出率があることから、Changeup は標的について選り好みしないようです。Changeup の拡散方法のひとつは CVE-2010-2568 の脆弱性があるコンピュータを利用したものなので、パッチ未適用のコンピュータの台数が多い国ほど、Changeup に感染する件数も多いと考えられます。
図 2. Browlock の標的となった上位の国
今回のような摘発が今でも重要な理由
逮捕者こそ出ていないものの、犯罪に利用されたインフラストラクチャを摘発したことは、やはり重要な意味を持っています。サイバー犯罪者が無事で済むことはないということが示されたからです。「Operation Source」が、Changeup ワームの背後にいる犯罪者にとってどんな意味を持つのかという質問に対し、シマンテックのセキュリティ専門家 Stephen Doherty はこう答えています。「2009 年に登場して以来、Changeup は今日までに確認されたなかでも特に長きにわたって存続してきたマルウェア拡散ネットワークです。そんな長寿のマルウェアとして、Changeup は世界中で何百万台ものコンピュータに感染してきたわけですが、今回の摘発はサイバー犯罪者にとって、つまりその直接の運用者にとっても、また Changeup のネットワークを悪質な拡散に利用していた者にとっても、新たな一撃です」
法執行機関とセキュリティベンダーとの協力は、サイバー犯罪との闘いに不可欠ですが、今回のような作戦の成功は、こうした脅威の背後にいる犯罪者に対する勝利と言えます。シマンテックも、法執行機関や他のベンダーとは緊密な協力関係をとっており、昨年の Blackshades(W32.Shadesrat)や Gameover Zeus(Trojan.Zbot)の摘発などで、サイバー犯罪者の活動を停止に追い込んでいます。
保護対策
AChangeup ワームやそれによってダウンロードされる脅威からお客様を保護するために、ウイルス対策と侵入検知の複数の検出定義を提供しています。そのほか、侵入されたコンピュータについては、無償のノートン パワーイレイサーツールを使って Changeup を除去することができます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】