Avastは8月28日、Retadupボットネットを、被害者のコンピュータを利用して運営者のために仮想通貨をマイニングするワームのコマンド&コントロールサーバーの脆弱性を悪用することで、推定85万台のシステムから削除できたと発表した。同社は、フランス国家憲兵隊(フランスの国家警察組織の一つ)のサイバー犯罪対策センターおよびFBIと協力し、ボットネットの「駆除」に取り組んだ。
Retadup のコマンドアンドコントロール構造の脆弱性を悪用すれば、Avast は感染したシステムに自社のアップデートを実際に適用することなく、マルウェアを削除できる可能性があります(標的型攻撃を行うのではなく、自己破壊コマンドを発行するようなものです)。こうすることで、Avast のウイルス対策ソリューションを使用している Windows ユーザーのみが利用できる修正プログラムをリリースするのではなく、Retadup に感染したシステムを持つすべてのユーザーを支援できるようになります。
しかし、この「駆除」プロセスの技術的側面への対応は、戦いの一部に過ぎなかった。だからこそ、フランスと米国の法執行機関が関与したのだ。アバストは3月にサイバー犯罪対策センターに連絡を取ったと述べている。その後、フランス警察が検察から作戦実施の許可を得るのを待つ必要があり、その間にRetadupの活動を密かに監視するための新たなツールを構築した。
7月、検察官はサイバー犯罪対策センターに対し、Avastと協力してRetadupのコマンド&コントロールサーバーを接収する許可をようやく与えました。コマンド&コントロールインフラの一部も米国に拠点を置いていたため、FBIも介入しました。すべての法的ハードルをクリアした後、Avastとその法執行機関のパートナーは、Retadupのコマンド&コントロールサーバーを自社の「サニタイズ済み」サーバーに置き換えることができました。
Avastによると、これまでにRetadupを駆除した85万台のシステムのほとんどはラテンアメリカにあり、Windows 7を使用しており、いかなるウイルス対策ソリューションにも依存していなかったという。(もちろん、これはAvastに信頼を寄せるべきだったという含みがある。)Retadupがセキュリティコミュニティの目をほとんど逃れた経緯や、Avastがどのようにしてこの巨大なボットネットを壊滅させたかについては、Avastのブログ記事で詳しく解説されている。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
