米国司法省は、シスコのTalos Intelligence Groupによって発見されたVPNFilterボットネットを壊滅させたと発表した。ペンシルベニア州の裁判所の許可を得たFBIは、ボットネットのコマンドアンドコントロールインフラが使用していたドメインを押収し、感染デバイスへの攻撃能力を事実上麻痺させた。しかし司法省は、VPNFilterは完全に機能停止したのではなく、機能を停止させただけであることを慎重に指摘した。
SOHO製品やNASデバイスを標的とすることで、VPNFilterの運営者には多くの選択肢が与えられます。シスコ社によると、このマルウェアは感染デバイスを通過する情報を収集したり、被害者が行ったように見せかけた攻撃を実行したり、さらにはデバイスを完全に動作不能にしたりするために利用される可能性があり、その結果、数十万人のインターネットアクセスが遮断される可能性があります。
シスコはまた、5月にVPNFilterの活動が2回(5月8日と5月17日)急増したことを検知したと発表しました。そのため、調査を終了する前にボットネットの存在を公表することにしたのです。司法省がVPNFilterの存在が明らかになったその日に、VPNFilterを阻止するための措置を講じると発表したのも不思議ではありません。VPNFilterは潜在的な問題ではなく、国家安全保障に対する真の脅威と見なされています。
司法省は、VPNFilter を妨害する取り組みについて次のように述べている。
感染したデバイスを特定し、修復を促進するため、ペンシルベニア州西部地区連邦検事局は、FBIがマルウェアのコマンドアンドコントロールインフラの一部であるドメインを差し押さえる権限を与える裁判所命令を申請し、取得しました。これにより、マルウェアの第1段階によるデバイスの再感染の試みは、FBIが管理するサーバーにリダイレクトされ、法的手続きに従って、感染デバイスのインターネットプロトコル(IP)アドレスが取得されます。非営利のパートナー組織であるShadowserver Foundationは、VPNFilterボットネットの修復に協力できる関係者(海外のCERTやインターネットサービスプロバイダー(ISP)など)にIPアドレスを配布する予定です。
司法省はまた、VPNFilterに感染した可能性のあるSOHOまたはNAS製品を所有するすべての人に対し、デバイスの再起動を勧告しました。これにより、マルウェアの第2段階がデバイスから一時的に削除されるはずです。第1段階は残存し、第2段階の再インストールを試みますが、FBIがVPNFilterのコマンドアンドコントロールインフラで使用されているドメインを押収したことで、これらの試みは阻止されるはずです。
VPNFilterはロシアのハッカーによるものと思われる
シスコはVPNFilterを特定の組織に帰属させていませんでしたが、国家レベルの攻撃者がこのボットネットで何ができるかについて言及し、政府機関によって管理されているのではないかという懸念を引き起こしました。司法省はさらに踏み込み、VPNFilterをSofacy Group(APT28、Fancy Bear、Pawn Stormなどの別名でも知られ、少なくとも2007年から活動している)に帰属させると明言しました。
FBIと国土安全保障省は2016年12月、Sofacyグループがロシアの諜報機関および政府関係者とつながりがあると発表しました。VPNFilterが現在ロシアが軍事拠点を置いているウクライナに重点を置いていることと合わせると、このボットネットと、少なくともロシア政府と何らかの緩いつながりを持つ組織とのつながりがさらに明確になります。
しかし、他の国々がボットネットを恐れる必要がないというわけではない。シスコは、ウクライナ以外の53カ国で既に感染デバイスを発見しており、標的とみられる企業(Linksys、Netgearなど)は世界中に製品を出荷していると述べた。司法省が迅速に対応したのはそのためだ。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
