FBIが世界中のネットワーク機器にリモートアクセスしてロシア製マルウェアを削除したことを発表

アメリカ連邦捜査局(FBI)がロシア製マルウェアに感染したASUS製とWatchGuard製のネットワーク機器にリモートアクセスしてマルウェアを削除したことを発表しました。FBIは、削除だけでは対応が不十分であるとしてデバイスの管理者に適切な対応を求めています。

Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU) | OPA | Department of Justice
https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-disruption-botnet-controlled-russian-federation

Companies were slow to remove Russian spies’ malware, so FBI did it for them | Ars Technica
https://arstechnica.com/information-technology/2022/04/fbi-accesses-us-servers-to-dismantle-botnet-malware-installed-by-russian-spies/

今回FBIが削除を報告したのは、ロシア連邦軍参謀本部情報総局(GRU)の技術チームに属するとされるハッカーグループ・サンドワームが用いているボットネットマルウェア「Cyclops Blink」です。このCyclops Blinkの存在が確認されたのは2019年6月頃で、2022年2月には世界中で使用されているWatchGuard製のファイアウォールアプライアンスの約1％に影響を与えていることが報告されていました。

ロシアが支援するハッキンググループの新しいボットネットマルウェア「Cyclops Blink」を英国と米国が特定し警告 - GIGAZINE

上記の報告を受けて、WatchGuardはFBIなどの捜査機関と連携してCyclops Blinkの検出方法および削除方法を公開。さらに販売するネットワーク機器がCyclops Blinkの影響を受けていることが判明したASUSも、WatchGuardと同様に対応方法を公開しました。

FBIによると、WatchGuardとASUSによる対応方法公開によって数千のデバイスからCyclops Blinkが取り除かれたものの、2022年3月時点でも大部分のデバイスはCyclops Blinkに感染したままだったとのこと。そこで、FBIは裁判所の承認を受けて「Cyclops Blinkに感染している世界中の数千台のネットワーク機器」にリモートアクセスし、Cyclops Blinkの削除を実施しました。

FBIは「今回の作戦では、自動スクリプトによって『デバイスのシリアル番号収集』と『マルウェアの削除』を実施しました」と述べ、作戦に必要のない情報にはアクセスしなかったことを強調しています。しかし、テクノロジー関連メディアのArs Technicaは「FBIがサーバーにリモートアクセスして何らかの操作を行うことは、操作ミスによる重大な損害やプライバシー侵害につながるという懸念も存在します」と指摘。このような懸念についてアメリカ国家安全保障局(NSA)の元職員で現在はセキュリティ企業・SCYTHEのエグゼクティブディレクターを務めるジェイク・ウィリアムズ氏は「私は、法執行機関が管理下にないサーバーにアクセスして修正を実行することは危険だと考えています。しかし、今回のケースではメリットがリスクを明らかに上回っていました」「この行動において、FBIがWatchGuardのような民間企業と協力したという事実は、特に重要です」と述べています。

なお、FBIは「WatchGuardとASUSが示した対応策を実施しない限り、攻撃に対して脆弱(ぜいじゃく)な状態が続きます」と述べ、ネットワーク機器の管理者に対して対策を行うように求めています。