2011年以降、南米を中心に世界中に蔓延したパスワード窃盗ワーム「ドークボット」の猛威は、各国のセキュリティ機関や企業の協力によって2015年12月、ようやく終焉を迎えた。ところでこのドークボットとはどういった脅威だったのか、いったい何が起こったのか、ここであらためて振り返ってみる。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を基に、日本向けの解説を加えて編集したものである。
「ドークボット」が最初に発見されてから5年の歳月が経過した。ワームとしてコンピューターシステムに不正な手段で文字通り這い回り、辺り構わず傍若無人に被害をもたらしてきた。その間、何百万もの罪なき人々が被害を受けた。その範囲は190を超える国々に広がった。情報セキュリティ業界に携わる者たちは誰もが、この事態を重く受け止めた。
事実、その舞台裏で専門家たちは「Win32/Dorkbot」として検知されるこの脅威に対して、いかに効果的に打撃を与えられるかを探ることに心血を注いできた。その努力はついに大きく花開き、2015年の暮れに向けて、著しい成果をもたらした。ESETはMicrosoftやポーランドのCERT、FBIやインターポール、ユーロポールといった世界の名だたる法的な取り締まり機関と連携して、世界中に蔓延したこの脅威に対して決定的な一撃を加えたのである。
専門家からなるこのチームは一致団結して事に当たった。ESETのジャン・イアン・ブーティン (Jean-Ian Boutin) の言葉を借りれば、ドークボットのC&C(指令統制) サーバーを「撃沈」し、そのウイルスのインフラを「粉砕」した。その結果、アジアやヨーロッパ、北米において、サイバー犯罪者たちは骨抜きにされた。さらにハイテク捜査はドメインの差し押さえにまで行き着き、被害者のコンピューターを乗っ取るボットネットの操作ポテンシャルは一気に低下したのである。
こうしたニュースが発表されたのは2015年12月初旬であり、折しもクリスマス直前の時期で、全ての人への少し早めのすてきなクリスマスプレゼントとなった。もちろん闘いは今なお続いているが、この勝利はインターネットユーザーの価値ある勝利としてその名を刻んだのである。
ドークボットの登場
ドークボットの最初の亜種が現れたのは、2011年4月のことである。このときはそれほど被害は広がっていなかった。しかしその1カ月後、別の亜種が現れて事態は深刻化した。これは、ESETのパブロ・ラモス(Pablo Ramos)が2012年に発表した「ドークボット:ラテンアメリカの狩人ゾンビ」という論文に記しているように、「最も広まったマルウェアの亜種」となったのである。このマルウェアの特徴はソーシャルネットワークにより拡散するということだ、と彼は指摘する。2011年、全マルウェア中、ラテンアメリカのユーザーに最も被害をもたらした。その感染率は常軌を逸していた。
ラモスは2012年にダラスで開かれた「ウイルスブリテン」誌の会議でこの発見について報告を行った。彼は拡散の理由についてこう説明した――「ラテンアメリカに感染が集中している大きな原因の一つは、セキュリティについての教育が欠けていることにあります。そのため脅威がソーシャルネットワークを介して拡散し得るという認識が広く行き渡っていなかったのです。ドークボットはラテンアメリカにあるコンピューター10台に1台の割合で発見されています」
世界中で注意を要する脅威へ
この時点では感染はまだ特定の地域に限られていた。しかし2012年になるとドークボットは何百万ものSkypeユーザーの攻撃に成功して、ついには全世界に悪評をとどろかすことになる。被害者が、全世界に広がったのである。
マルウェアがこのように広く蔓延してしまった大きな原因としては、結局のところ、その当時は、Skypeというビデオチャットサービスのユーザーがサイバー脅威について、あまり警戒していなかった、という事実が挙げられる。
ユーザーは、連絡先リストに載っている任意の人(いつも信頼を置いている人)から来たかのように見えるリンクを受け取るが、実はこれは不正なものである。このリンクに先立って送られてきたメッセージには「これはあなたの新しい写真?」などという文言が書かれている。一見、不正とは無縁に見える。しかし、そこにあるリンクをクリックすると、トロイの木馬が意図せずしてダウンロードされてしまう。この場合、不正なソフトウェアはランサムウェアの亜種であることが多い。
ドークボットの幾つかの特徴
ファイルの暗号化だけがドークボットが備える唯一の武器なのではない。このマルウェアはコンピューターに別のソフトをインストールして、パスワードやユーザー名といった個人情報を盗み出してしまう。とても伝播力が強く、USBメモリのようなリムーバルメディアやソーシャルメディア、あるいはスパムやエクスプロイトキットなど、さまざまな経路を通して拡散してしまう。
このマルウェアの第一の目的は、最終的にはバックドアとして働いて、サイバー犯罪者がC&Cサーバーを通じて感染したシステムにリモートアクセスすることを可能にさせることである。その名の通り、ボットネットをつくり上げるのである。
典型的なインストールの流れは以下のようになる。
いったん実行されると、このマルウェアは「%appdata%\%variable%.exe」に自身をコピーする。そして、全てのシステムのスタートで確実にそれが実行されるように、ひそかにレジストリへエントリーを行う。「%variable%」の代わりに変数の中身を伴った文字列が使われる。そしてこのマルウェアは自分自身のプログラムコードを用いて新たな脅威をつくり出し、実行するのである。ユーザーにはこの過程は全く見えない。
活動中の脅威に油断は禁物
ドークボットは今日に至るまで5年という長きにわたって活動を続けてきた。そのため、このマルウェアはもう古くなっており過去のものと見なす人がいるかもしれない。しかし専門的見地から言ってそれは正確な表現ではない。ブーティン氏が先のレポートで解説しているように、このマルウェアは自分自身を新たにつくり直し続けており、決して風化することがないのである。ただしこれは「古いトリック」を用いているために、脅威を取り除くカギが見いだされたのである。
2015年の時点でESETのマルウェア研究者は、ドークボットによるインシデントが世界中で続出しており、週に何千もの検知され続けている、と述べている。新鮮なサンプルが「日々届けられ」、この「しつこいまでの繁殖力のため」に、マルウェアを根絶する努力にもかかわらずそれは「生き残り続け」ているのである。
残念なことに、ほとんどのこの手の脅威と同様、感染していると気付いたときには手遅れである(何百万という犠牲者の存在がそれを証明している)。ユーザーはある朝起きてみると、自分のファイルにロックが掛けられていて、その代わり数日のうちに身代金を支払うように警告するポップアップメッセージがスクリーンに表示されるのを目にする。あるいは銀行に口座の残高の確認に行くと、きれいさっぱりなくなっていることを知るのである。
ブーティン氏が強調するように、こうした不幸なインシデントが起こる前に徹底したスキャンを行ってパソコンを検査し、きれいにすることこそが、恐らくマルウェアを発見した後で元に戻すために個人ができる一番の方法である。
何よりも予防が常にカギとなる。最新のセキュリティソリューションを使用しているユーザーは、その意味では、すでに適切な対応をしていると言えるだろう。そういう人たちはすでに最善のセキュリティを実践している、ということになる。
こうした対策さえも乗り越えるような攻撃に関しては、ESETやユーロポールのヨーロッパ・サイバー犯罪センター、インターポールといった組織が、こうした脅威そのものを壊滅させるべく日々努力している。結局のところ、克服すべき障壁の中には非常に専門的で入り組んだものもある。それは熟達したプロだけが身に付けている専門技術の水準を要する。この障害の克服は共同で行う努力を要するものであり、協力して行うことでとても効果的なものとなり得る。
ユーロポールの副ディレクターであるウィル・ファン・へメルト(Wil van Gemert)氏は2015年12月に、「ドークボットのようなボットネットは世界中に被害者をつくり出す。そのため、グローバルな法の執行機関のチームによるアプローチが民間部門と共に協業することがとても重要である」と述べていた。
「ユーロポールは何百万もの被害者をつくり出す可能性がある不正なボットネットを打ち負かすために、法的取り締まり機関や民間部門と喜んで協力する用意がある」
とはいえ、今後もドークボットにはくれぐれも注意が必要である。