マイクロソフトとその仲間が米国商標法を利用してTrickbotマルウェアネットワークを破壊

マイクロソフトとその他の世界的な情報セキュリティ企業は、被害者の PC にランサムウェアなどを挿入する Trickbot マルウェアが使用するコマンド アンド コントロール (C2) インフラストラクチャを破壊する共同作戦を開始した。

情報セキュリティ ブロガーの Brian Krebs 氏の報告によると、先週末に米国政府が Windows ボットネットを混乱させる作戦を開始したのに続き、C2 インフラを遮断する多国間の取り組みは、11 月 3 日に行われる米国大統領選挙に関係するシステムがボットによるランサムウェア感染を防ぐ試みの一環とされている。

「裁判所命令を取得し、世界中の通信事業者と連携して技術的措置を講じることで、Trickbotを阻止しました」と、MS副社長のトム・バート氏はブログに記した。「主要インフラを遮断したため、Trickbotを操作している者は、新たな感染を引き起こしたり、既にコンピュータシステムに侵入したランサムウェアを起動したりすることができなくなります。」

米国東部バージニア州地方裁判所が下した命令により、マイクロソフトとその仲間たちは「IPアドレスを無効化し、コマンド＆コントロールサーバー上に保存されているコンテンツをアクセス不能にし、ボットネット運営者への全サービスを停止し、トリックボット運営者が追加サーバーを購入またはリースしようとするあらゆる試みを阻止する」権限を与えられた。

このようにオンライン マルウェア ネットワークと戦うことは、ヒドラの首を切って殺そうとするようなものです。動きを遅くすることはできますが、倒れて死ぬ可能性は低いでしょう。

スロバキアの情報セキュリティ企業ESETは、レドモンドのパートナー企業の一つでした。脅威調査責任者のジャン＝イアン・ブーティン氏は次のように述べています。「長年にわたり追跡調査を行ってきましたが、Trickbotによる侵害は着実に報告されており、現在最も大規模かつ長期間存続しているボットネットの一つとなっています。Trickbotは最も蔓延している銀行系マルウェアファミリーの一つであり、このマルウェアは世界中のインターネットユーザーにとって脅威となっています。」

Trickbotは、サービスとしてのマルウェアです。元々はDyreとして知られるバンキング型トロイの木馬でしたが、現在では標的のネットワークに侵入し、ランサムウェアなどの他のマルウェアをドロップするために使用されるようになりました。英国国立サイバーセキュリティセンターは、明確で詳細な説明と、分かりやすい言葉で書かれた緩和策情報をこちらに掲載しています。

Trickbot 対策に関与したその他の企業としては、Lumen の Black Lotus Labs、NTT、Broadcom 傘下の Symantec などがある。

しかしながら、リストに載っていないことで注目すべきは英国の企業だ。マイクロソフトの法律顧問は、TrickbotがWindowsオペレーティングシステムを偽装することがあるという理由で、米国の商標法を用いてTrickbotのC2インフラを差し押さえ、停止させることに成功したが、英国の刑法は英国企業がマルウェア運営者に対して強力な措置を講じる上で役に立たない。

1990年コンピュータ不正使用法は、所有者／運営者の許可なくシステムにログインすること、およびコンピュータに対して「重大な損害」を引き起こすリスクのある「不正行為」を行うことを刑事犯罪と定めています。そのため、学界やセキュリティ関連企業は改革を求めています。

このずさんな文言の法律は 1980 年代後半に起草されたもので、現代のテクノロジーの進展に追いついていません。英国の個人または企業がマルウェアの C2 インフラストラクチャを故意に妨害した場合、その動機がいかに純粋であっても、その過程で犯罪を犯す可能性があるという、少なくとも理論上のリスクがあります。

Krebs 氏は、今回の取り締まりとそれに伴う PR の嵐にもかかわらず、Trickbot C2 サーバーの一部はオンラインのままであると推測しています。®