マイクロソフトが悪名高いNecursボットネットを解体した方法

Necursは、その絶頂期にはインターネット上で最も破壊的な勢力の一つでした。いわばスイスアーミーボットネットとも言えるこのボットネットは、長年にわたり、意図せずして制御下に置かれていた900万台以上のコンピューターを悪用し、スパムの送信、ランサムウェアの拡散、金融機関への攻撃など、様々な攻撃を行ってきました。先週、MicrosoftはNecursの活動を停止しました。

Necursは最近静穏な状態にあります。直近の顕著な活動は昨年3月に終息しましたが、依然として200万台の感染システムが次の攻撃を待ち構えています。Microsoftは、35カ国の法執行機関やインターネットサービスプロバイダーと連携し、BitSightやShadowServerといったサイバーセキュリティ企業の支援を得て、ボットネットの残存部分を遮断することで、Necursの再出現を効果的に阻止しました。

「今回の妨害は8年間にわたる追跡と計画の成果です」と、マイクロソフトのコーポレートバイスプレジデント、トム・バート氏は今回の攻撃を発表するブログで述べた。「これにより、このネットワークの背後にいる犯罪者が、同社のインフラの主要部分を利用できなくなることが確実になります」。マイクロソフトはそれ以上のコメントを控えたが、Necursのような活動がWindowsデバイスとそのユーザーを脅かす規模の大きさを考えると、同社は過去にも同様の攻撃で主導的な役割を果たしてきた。

ボットネットは分散型サービス拒否攻撃（DDoS攻撃）と関連付けられることが多いですが、Necursはより多様なポートフォリオを持っています。「Necursボットネットがこれほど悪質なのは、攻撃者が非常に多くのデバイスに感染し、この巨大なボットネットが他の多くの種類のマルウェアを拡散するという事実に基づいて、様々な目的に利用しているからです」と、コンテンツ配信ネットワークAkamaiのシニアセキュリティ研究者、ヤエル・ダイヘス氏は述べています。その主な目的はスパムです。3月5日に提出された刑事告訴状の中で、Microsoftは「感染したNecursコンピューター1台から、58日間で4,060万人以上の潜在的な被害者に合計380万通のスパムメールを送信できる」と述べています。

Necursは基本的にボットネットの依頼を受け、クライアントが望むあらゆるマルウェアを配布することができます。これには、約10年前にインターネットを席巻した悪名高いトロイの木馬「GameOver Zeus」や、Evil Corpなどが展開したマルウェア「Dridex」が含まれます。告訴状には、NecursがLockyやTrickbotといった悪名高いマルウェアの配布にも利用されていたことが詳細に記されており、まるでLegion of Doomの密輸業者のようです。ランサムウェアから銀行情報の窃盗、監視まで、その可能性は無限大です。

Necurs は古いマシンのウイルス対策ソフトのアップデートをブロックし、様々な連鎖的な問題を引き起こす可能性があります。訴状には、「ウイルス対策ソフトが更新されていない古いWindows 7を使用しているデバイスの場合、Necurs はセキュリティメカニズムを破壊し、Necurs をコンピューターデバイスから削除するだけでなく、被害者のコンピューターデバイスを他の多くの種類のマルウェアにさらしてしまう可能性があります」と記載されています。

「Necurs は、2016 年以降は重要性が低下しているように見えるものの、マイクロソフトの行動以前から依然として大きな脅威であり続けていた」と、このボットネットを追跡しているセキュリティ企業 Flashpoint のシニアアナリスト、エブリン・フレンチ氏は言う。

Necursは8年前に初めてオンラインで発見され、それ以来、拡散に利用してきた様々なマルウェアファミリーとの関連性が指摘されてきました。しかし、本格的な駆除活動が始まったのは2016年、BitSightがボットネットの解明に長年取り組み、Microsoftなどの企業が実際に阻止できるよう、その構造をリバースエンジニアリングした時でした。目に見えないものに対抗することはできないのです。

それは大変な作業でした。Necursは単一のボットネットではなく、少なくとも11のボットネットからなるファミリーであり、すべて同じ正体不明のロシア人犯罪者によって管理されていると推定されています。BitSightの調査によると、これらのボットネットのうち4つが、全感染の95%を占めていました。さらに、Necursは制御対象のコンピューターとの間で情報を中継するために、非常に高度なコマンドアンドコントロール構造を採用しています。

最も基本的なコマンドアンドコントロール方式では、マルウェアは単一のドメインとの通信を試みる。ハッカーはそのドメインから指示を出す。しかし、Necursは基本的な仕組みとは程遠い。固定のサイトに頼るのではなく、ドメイン生成アルゴリズム（DGA）と呼ばれる手法を用いて4日ごとに2,048個の潜在的なドメインを作成し、ゾンビコンピューターに高い柔軟性を与えている。「これは、通信するドメインを基本的に毎日、毎週、毎月変更する機能です。これは、マルウェアを作成した人物の目的によって変化する可能性があります」と、BitSightのセキュリティリサーチ責任者であるダン・ダールバーグ氏は述べている。「今日、ボットネットは攻撃者が実際に制御しているドメインを見つけるために、50もの異なるドメインとの通信を試みるかもしれません。次の日には、別の50のドメインに変更するかもしれません。」

いくつかのボットネットファミリーはDGAを使用していますが、Necursは独自の工夫を加えており、主に適応性を重視しています。感染したマシンがNecursのコマンドアンドコントロールドメインへの接続に成功すると、何らかの理由で接続が切断されるまで他の場所へのアクセスを停止します。切断された場合にのみDGAを使用します。また、Necursは複数層のコマンドアンドコントロールサーバーも使用し、同じサーバーに接続されたデバイスはクラスター内の他のデバイスと通信し、どのドメインが機能しているかを比較することができます。

「これは多層防御の通信構造を備えており、企業が内部セキュリティツールにエスケープとフォールバックのメカニズムを構築するのとほぼ同じです」とダールバーグ氏は語る。「そしてもちろん、これらのマルウェアファミリーはより複雑な通信手段を実装しているため、妨害や削除ははるかに複雑になります。」

ボットネットを阻止する最も効果的な方法は、これらのコマンド＆コントロールドメインを押収して通信を遮断することです。これがDGAを非常に効果的な武器にしている理由です。BitSightやMicrosoftのような企業は、毎週何千もの新しいドメインの獲得に追われています。しかし、DGAは最終的に効果的な障害物となることも意味しています。Microsoftは、基盤となるアルゴリズムを解読することで、今後25ヶ月間にNecursが新たに追加する予定の614万4000のドメインを特定し、関係各国の当局に警告を発して登録をブロックしました。裁判所命令により、Microsoftは米国にある既存のNecursドメインの押収も許可されました。同社はまた、世界中のISPと協力して、感染したデバイスを持つユーザーを特定し、マシンのスクラビング（除去）を支援しています。

Necursが1年前に活動を休止して以来、他のボットネット、特にEmotetが台頭してきました。しかし、Necursを機能停止させることは依然として重要な目的を果たしています。「休眠状態にあるとはいえ、悪意のある目的で再びオンラインになる可能性は不明です」とダールバーグ氏は言います。

Microsoft とそのパートナーは、ボットネットが復活を試みても、逃げ場はほとんど残らないようにした。

WIREDのその他の素晴らしい記事