このたび Bamital ボットネットの活動停止に成功したことをここにご報告いたします。シマンテックは Bamital ボットネットを 2009 年末から追跡してきましたが、先頃 Microsoft 社と連携してこのボットネットの活動に必要な既知のコンポーネントをすべて特定し、シャットダウンしました。
Bamital は、検索エンジンの検索結果を乗っ取ることを主目的としたマルウェアグループです。検索結果をクリックすると、攻撃者が管理しているコマンド & コントロール(C&C)サーバーにリダイレクトされ、C&C サーバーからさらに、攻撃者の選んだ Web サイトにリダイレクトされます。Bamital には、ユーザーが操作しなくても広告をクリックする機能も備わっています。そのため、検索エンジンの操作性が低下するだけでなく、別のマルウェアに感染する危険性も高くなります。
Bamital は、2009 年末にオリジナルが発見されて以来、過去数年の間にいくつもの亜種を生み出しつつ進化してきました。Bamital の主な拡散経路は、ドライブバイダウンロードと、ピアツーピア(P2P)ネットワークで改変された悪質なファイルです。2011 年に、ある Bamital の C&C サーバーを 6 週間にわたって解析したところ、重複を数えずに 180 万以上の IP アドレスがこのサーバーと通信し、1 日当たり平均 300 万クリックが乗っ取られていることが確認されました。ボットネットからの最近の情報では、C&C サーバーに送信された要求の数は 1 日当たり優に 100 万回を超えていたことも判明しています。
この Bamital のような種類の詐欺をクリック詐欺と言います。クリック詐欺では、人または自動スクリプトがオンラインでのユーザーの操作をエミュレートし、オンライン広告をクリックして利益を上げようとします。Bamital は、エンドユーザーを意図しない広告やコンテンツにリダイレクトし、広告や Web サイトでは人の手を介さずにトラフィックを生成します。その目的は、広告ネットワークから報酬を受け取ることです。また Bamital には、正規のソフトウェアを装ってマルウェアを拡散している Web サイトにユーザーをリダイレクトする機能もあります。次のビデオでは、Bamital がオンライン広告モデルを悪用する仕組みについて解説しています。
Default Chromeless Player
Bamital は、クリック詐欺で利益を上げ、他のサイバー犯罪活動を助長しようとする多くのボットネットのひとつにすぎません。クリック詐欺を仕掛ける攻撃者の多くは、この手口はリスクが低いと考えています。自分のコンピュータがクリック詐欺に悪用されていることに多くのユーザーは気づかないからです。今回の Bamital の活動停止は、クリック詐欺行為が監視されており、シャットダウンに追い込まれるというメッセージを、そうした攻撃者に伝えたことになります。
Bamital の活動について詳しくは、ホワイトペーパー(英語)をご覧ください。
Bamital に感染した場合の回復方法については、http://www.norton.com/bamital(英語)を参照してください。シマンテックのセキュリティ製品で最新の定義をお使い場合は、すでに Bamital とその亜種から保護されています。
Bamital ボットネットのシャットダウンにご理解およびご協力いただいた、スペインの Civil Guardia、Catalunyan CERT(CESICAT)、および Microsoft 社に感謝いたします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。