Googleが100万台のデバイスを束ねたボットネット「Glupteba」の運営者とされる2人のロシア人を訴える

Googleは2021年12月7日、約100万台のWindowsコンピューターを含むボットネット「Glupteba」のインフラストラクチャーを混乱させ、運営者とみられる2人のロシア人に対する訴訟を起こしたと発表しました。一連の動きは、インターネットの安全性がビジネスにとって必要不可欠なハイテク企業が、以前は法執行機関の役割だったサイバー犯罪者への追及を行う一例だと指摘されています。

New action to combat cyber crime
https://blog.google/technology/safety-security/new-action-combat-cyber-crime/

Disrupting the Glupteba operation
https://blog.google/threat-analysis-group/disrupting-glupteba-operation/

Google disrupted the Glupteba botnet used to steal personal information and mine cryptocurrency - The Washington Post
https://www.washingtonpost.com/technology/2021/12/07/google-glupteba-botnet-hack/

Google announces lawsuit, technical action against blockchain botnet Glupteba | ZDNet
https://www.zdnet.com/article/google-announces-lawsuit-and-action-against-blockchain-botnet-glupteba/

Googleは12月7日の公式ブログで、「Windowsマシンをターゲットにし、ブロックチェーン技術を用いて自らを保護する洗煉されたボットネット『Glupteba』を混乱させる行動を取りました」と報告しました。

ボットネットとは、悪意のあるアクターの制御下にあるマルウェアに感染した多数のコンピューターからなるネットワークのことで、感染したデバイスを通じて機密情報を盗んだり詐欺を行ったりします。Gluptebaは2011年に発見されて以降、長年にわたり法執行機関やセキュリティ研究者によって追跡されてきたボットネットです。

Gluptebaが使用するマルウェアは、不審な無料ダウンロードサイトなどを通じてターゲットのコンピューターに感染するとのこと。以下の画像が、ソフトウェアの無料ダウンロードサイトを装いながらGluptebaのマルウェアをインストールするウェブサイトの一例です。

Googleはブログの中で、「徹底的な調査の結果、Gluptebaボットネットは世界中で約100万台の侵害されたWindowsデバイスを含んでおり、1日当たり数千台のスピードで成長していると判断しました。Gluptebaはユーザーの資格情報とデータを盗み、感染したホストで暗号資産をマイニングし、感染したマシンやルーターを介して他のインターネットトラフィックに感染するためのプロキシを設定したとして悪名高い存在です」と述べています。また、GluptebaはGoogleアカウントのログイン情報を盗んで販売したり、感染したデバイスへのアクセス権を他のハッカーに販売したりする商売を行っていたとのこと。

Gluptebaの追跡と調査を継続してきたGoogleは、業界のパートナーと連携して技術的および法的なアクションを行いました。技術的なアクションとして、Googleはここ1年でGluptebaに関連する1183件のGoogleアカウント、908件のGoogle クラウドプロジェクト、870件のGoogle広告アカウント、6300万件のGoogleドキュメントを終了させたと述べています。また、悪意のあるファイルをダウンロードしようとした350万のユーザーに対して、Google セーフ ブラウジングを通じて警告を発したと報告しています。

さらにGoogleはここ数日間で、CloudFlareを含むインターネットインフラストラクチャープロバイダーやホスティングプロバイダーと提携して、Gluptebaのサーバーを停止し、悪意のあるドメインに接続する警告ページを設置するなどしてGluptebaの動作を妨害しました。Googleによる妨害工作でGluptebaの主要な指揮系統に混乱が生じたとみられる一方、Gluptebaはビットコインブロックチェーン上でエンコードされたバックアップコマンドや制御メカニズムによる保護システムを組み込んでいるため、混乱から迅速に回復する可能性があるとのこと。

Googleはこれらの技術的なアクションと並行して、Gluptebaの運用者とみられるロシア人・Dmitry StarovikovとAlexander Filippovの2人に対する訴えを、ニューヨーク州南部地区連邦地方裁判所で起こしました。2人はGluptebaにコマンドを送信したものと同じIPアドレスにGoogleのメールアドレスアカウントを設定しており、ボットネットに含まれるコンピューターのデータを販売するウェブサイトとGoogleアカウントの関連も確認されたとGoogleは主張しています。

Googleはブログ記事で、「私たちはGluptebaが復活してもインターネットがよりよく保護されるように戦うため、産業界や政府と緊密に協力しています」「このような積極的な行動を取ることは、セキュリティにとって重要です。私たちはインターネットが直面する脅威を理解し、認識し、対処するために自分たちの役割を果たしています」とコメント。

アメリカの日刊紙であるワシントン・ポストは、12月6日にもMicrosoftが「中国を拠点とするハッカーグループが用いるドメインを押収した」と発表したことを挙げ、「MicrosoftやGoogleなどの企業がハッカーを調査して排除しようとする動きが活発化しています。これは従来、政府の法執行機関が主に行っていたものです」と述べました。