去る9月10日、ヴァージニア州東部地区連邦地地方裁判所はマイクロソフト社のデジタル犯罪部(Digital Crimes Unit)に対し、無実の数百万人を標的とする500以上の異種のマルウェアの拡大を破壊すべく許可を与えた。
そのマルウェア破壊戦略のコードネームは“Operation b70”と呼ばれ、広くユーザーのPCな安全性の損壊を目的とするマルウェアの組込み目的の偽のマルウェアを安全性を欠くサプライチェーン過程において浸入させたとする同社の研究成果に基づく今回の訴訟および技術的被害阻止のためのボットネット破壊許可を行ったものである。
このニュースは、IT関連メディアだけでなくニューヨークタイムズやBBC(注1)等多くの海外一般メディアも取り上げた。
本件について、筆者なりに正確な情報入手に勤めたが、やはり一番正確なものはマイクロソフト社デジタル犯罪部の副法務顧問(Assistant General Counsel)リチャード・ドミンゲス・ボスコヴィッチ(Richard Domingues Boscovich)がまとめた9月13日付け公式ブログであろうことから、その内容の仮訳を中心としつつその要旨をまとめてみた。
Richard Dimingues Bascovich氏
1.マイクロソフト社の公式ブログの要旨
(1)同社が実施してきたマルウェアの異種によるボットネット破壊戦略に関し、今回の拡大阻止のための破壊措置は過去6ヶ月間行ってきた第2弾にあたる(第1弾は2012年7月2日に同社ブログで公表した“Zeus”対策)。
(2)PCの販売業者や再販業者は詳しく知らないまたは無権限の提供者から受け取ったり販売を受けた場合、製造業者と消費者の間のサプライチェーンの安全性は欠如する。“Operation b70” (注2)によりマイクロソフトは小売業者が有害なマルウェアを埋め込んだ偽のウィンドウズ・ソフト・バージョンを搭載したコンピュータを販売している事実を検出した。この犯罪者等は被害者の個人情報を盗み取り、かつe-mail、ソーシャルネットワークのアカウントやオンライン・バンクの口座情報を悪用した。その悪用例としては、マルウェアを利用して偽のe-mailを被害者の家族、友達や仕事仲間に送信し、金銭を騙し取ったり危険な偽の薬を売ったりさらに彼らのPCにマルウェアに感染させたりした。
(3)マイクロソフトは、偽造ソフトの配布阻止に全力を挙げて取り組むとともに政府、法執行機関や他の産業界とともに緊密に連携をとってきた。同社の「Nitol ボットネット」破壊作戦は、さらに顧客を保護し犯罪者が偽のソフトウェアを使い顧客を騙すことを思いとどまるようあらゆる必要な手段をとるという決意を表すものである。
サプライチェーンにおけるPCやソフトウェアの供給者、再販業者、販売業者や小売業者が購入、転売に当たり信頼できる提供者からの取得するためには引き締め政策を取りかつその実践を行うことが必要である。
(4)マイクロソフトは、サイバー犯罪者が罪なき人々へのPC等の販売に当たり偽造ソフトをプレ・ロードし、感染させた事実を確認した。事実、安全性を欠くサプライチェーンから購入されたPC研究者のPCの20%はマルウェアに汚染されていた。事態をますます悪化させたことは、同マルウェアはUSBフラッシュ・ドライブ等を介して伝染病のように拡大したことである。
(5)Nitolの問題を暴露すべくマイクロソフトの研究は、2008年以来悪意ある犯罪行為にリンクするドメインの主催者を問題視した。この研究では“b70”を主催することに加え、“3322.org”が7万以上のサブドメインが驚異的な500以上の異種マルウェアを含んでいることを明らかにした。この調査にあたり、マイクロソフトは感染したPCのマイクロフォンやビデオカメラを遠隔でスィッチオンし、まるで潜在的に犠牲者の家庭や事務所に目や耳があるがごとく、情報をサイバー犯に与えているという事実を明らかにした。
「Nitolボットネットマルウェア」は、それ自身インターネット・トラフィックに過剰負荷をかけ大規模ネットワークを無能力化する“DDoS(Distributed Denial of Service)”を実行するとともに、さらに被害者のPCにマルウェアのための隠れたアクセスポイントを作り出す役目を持った。
マイクロソフトは、わが社の顧客やクラウド・ベース・サービスを標的とするマルウェアの脅威を先見的に排除するMARS(Microsoft Active Response for Security)プロジェクトの一部としてNitol ボットネットに対する裁判行動を起こすべく、訴えを提起した。
これらの調査結果を元にマイクロソフトはこれらの犯罪行為が“Waledac”、 “Rustock”、 “Kelihos”の運営者により行われているとしてヴァージニア州東部地区連邦地裁に訴訟を起こした。
(6)2012年9月10日、同裁判所は被告たる彭勇(Peng Yong)の所有会社および“John Does” (注3)に対する一方的一時差止め命令(ex parte temporary restraining order)を求めるマイクロソフト社の申立を承認した。この訴訟にかかるすべての法律文書は9月13日付けで公開されている。
同命令においてマイクロソフトはNitolボットネットを主催していた“3322.org domain”を同社の新たなDNS(Domain Name System)の創設を通じて主催することが認められた。この新システムは、正当なサブドメインが分裂せずに作動する他のすべてのトラフィックを許容する一方で、マイクロソフトが“3322.org domain”上で機能する約7万近い他の悪意あるサブドメインを防護することを可能とする。
これ対抗措置は本件のみでなく現在なお進行中であり、さらに必要に応じてアップデートする。
(7)PCユーザーが、仮に自身のPCがマルウェアに感染していると信じる場合、マイクロソフトは無料でセキュリティの解析とクリーニングするための専用サイトhttp://support.microsoft.com/botnetsを用意した。
2.関連解説記事
9月14日付けのフォレンジック専門サイト“Digital Forensic Investigator”が裁判所の公開文書をもとに他のメディアより詳しく解説している。
****************************************************************************************************************
(注1) わが国でBBCの記事を仮訳している例がある。しかし、訳語の不正確やさらに言えばマイクロソフト社の公式ブログを読んでいないことなどから読者にとって決して有用とは思えないことから本ブログをまとめた。
(注2) “Operation b70”(全18頁)の内容は公式ブログからリンク可である。
(注3) 米国の裁判では、被告を特定できなくても提訴ができるが、その場合、次のような匿名の表示“John Does”を使用する。
*******************************************************************************************************************:
Copyright © 2006-2012 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます