2020年10月13日 11時20分 セキュリティ

Microsoftが大統領選に向けて悪名高いマルウェア「TrickBot」の運用阻止に乗り出す



2020年11月に実施されるアメリカ大統領選挙へのマルウェアやランサムウェアの影響が懸念される中、Microsoftや多数のハイテク企業が連携して、「TrickBot」と呼ばれるマルウェアを阻止する行動に乗り出したことが発表されました。



New action to combat ransomware ahead of U.S. elections - Microsoft on the Issues

https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/



Microsoft and others orchestrate takedown of TrickBot botnet | ZDNet

https://www.zdnet.com/article/microsoft-and-other-tech-companies-orchestrate-takedown-of-trickbot-botnet/



2020年の大統領選に関連して、Microsoftが「大統領選がロシア・中国・イランのハッカー組織からサイバー攻撃を受けている」と報告するなど、選挙に対するサイバー空間からの干渉が危険視されています。ランサムウェアを使用して、有権者名簿や開票結果を報告する選挙インフラストラクチャーを攻撃することで、混乱と不信を招くことも可能だとMicrosoftは指摘しています。



Microsoftが「ロシア・中国・イランのハッカー組織から大統領選がサイバー攻撃を受けている」と報告 - GIGAZINE





そこでMicrosoftは、FS-ISAC・ESET・Lumen’s Black Lotus Labs・NTT・Symantec a division of Broadcom(Symantec Endpoint Protection)などと協力して、世界的に悪名高いボットネットの一つであり、ランサムウェアの配布にも使用されているマルウェア「TrickBot」の阻止に乗り出しました。



TrickBotはトロイの木馬型のマルウェアであり、銀行の口座情報やEメールアカウント、システムやネットワークの情報などを盗み取ります。それだけでなく、感染したシステムにバックドアをインストールしてボットネットの一部として利用されるほか、別のマルウェアやランサムウェアをインストールするために使用されるケースもあるとのこと。



2016年に登場したTrickBotは主にWindowsデバイスを対象にしたマルウェアであり、記事作成時点では世界中で100万台を超えるコンピューターやIoT機器に感染しているとみられています。近年、TrickBotオペレーターたちは新型コロナウイルス感染症(COVID-19)やBlack Lives Matter運動などのトピックを装ったドキュメントやリンクにTrickBotを仕掛け、感染を拡大させているとMicrosoftは指摘しています。





そこでMicrosoftは、TrickBotの運用停止に向けた措置を講じるため、バージニア州東部地区連邦地方裁判所にTrickBotサーバーを停止させる裁判所命令を要請しました。法的書類の中でMicrosoftは、TrickBotがWindows製品を破壊しており、Microsoftのブランドに極度の損害を与えていると主張。また、「TrickBotはMicrosoftのソフトウェアコードを悪用しており、著作権を侵害している」との申し立ても行っています。



Microsoftは数カ月にわたってパートナーたちと協力し、12万個を超えるTrickBotのサンプルを収集・分析し、TrickBotが感染したコンピューターに命令を下したサーバーなどの調査を実施。2020年10月に裁判所から承認を受けたMicrosoftは、世界中のインターネットサービスプロバイダ(ISP)やサイバーセキュリティチームなどと連携し、TrickBotサーバーのIPアドレス停止やサーバー内のコンテンツへのアクセス遮断、ボットネットオペレーターへのサービス停止などのアクションを起こしました。





今回の措置はTrickBotのオペレーターたちに混乱をもたらしたと見られているものの、MicrosoftはオペレーターたちがTrickBotの運用を復活させるだろうと考えています。「パートナーと協力してその活動を監視し、追加の法的および技術的措置を講じてTrickBotを停止させます」と、Microsoftは述べました。



なお、Microsoftがボットネットインフラストラクチャーを妨害する数日前には、アメリカサイバー軍によるTrickBotへの妨害工作も行われていたことがわかっています。



Report: U.S. Cyber Command Behind Trickbot Tricks — Krebs on Security

https://krebsonsecurity.com/2020/10/report-u-s-cyber-command-behind-trickbot-tricks/