2012年7月9日(米国時間)、DNSチェンジャー感染被害者向けの DNSサーバの運営が終了しました。トレンドマイクロでは、DNSチェンジャーの拡散を含むサイバー犯罪を組織的に行っていた犯罪集団の摘発に至るまでを解説したリサーチペーパー「Rove Digitalの壊滅」を公開しました。 |
(さらに…) 続きを読む
トレンドマイクロは、2012年6月11日、「DNS設定の変更を行なうトロイの木馬型の不正プログラム(DNSチェンジャー)」の感染被害者の救済目的で設置されている安全な DNSサーバの運営期限があと 1カ月に迫っていることを本ブログ上で報告しました。DNSチェンジャーに感染した 400万以上のボットにより形成された巨大な「DNS改変型ボットネット」が閉鎖され、2011年11月8日、「Rove Digital」や「Esthost」という会社を通じてこのボットネット運営に関与していたサイバー犯罪者集団が検挙されてから数カ月経っていますが、この巨大ボットネットに関する問題はまだ解決されていません。「DNS Changer Working Group(DCWG)」によると、いまだ 30万人以上の PC が DNSチェンジャーに感染した状態であるとのこと。DNSチェンジャーの感染被害者の PC は、今月 9日に救済目的で設置されていた安全な DNSサーバが停止すると、インターネットに接続することができなくなります。
続きを読むTwitter からの投稿によって遠隔操作可能な Android端末向けの不正プログラム「ANDROIDOS_BACKDOORSNSTWT.A」が確認されました。Twitter からコマンドを受信することで、不正に取得した情報の送信先を変更できるように設計されています。また、ホーム画面にアイコンの作成を行わないため、インストールされても気付きにくい特徴があります。 |
米国の NPO「Internet Systems Consortium(ISC)」は、「DNS設定の変更を行なうトロイの木馬型の不正プログラム(DNSチェンジャー)」の感染被害者の救済目的で安全なDNSサーバを運営していましたが、その運営期限があと1カ月となりました。
FBI が「Operation Ghost Click」と呼ぶこの作戦において、ニューヨークとシカゴのデータセンタに対して強制捜査が実施され、FBI とエストニア警察は、2011年11月8日、トレンドマイクロおよびその他の多数の業界関係者による協力の元、400万以上のボット(感染コンピュータ)により形成された巨大な「DNS改変型ボットネット」を閉鎖し、「Rove Digital」や「Esthost」という会社を通じてこのボットネット運営に関与していたサイバー犯罪者集団を逮捕。この巨大ボットネット閉鎖後、DNSチェンジャーに感染した被害者がインターネットアクセスに不具合を発生させないために、ISC は、犯罪者によって設置された不正な DNSサーバを正常な DNSサーバに置き換える対応をしていました。そして、その代替サーバの運用停止期限が来月9日に迫っているのです。
続きを読む2012年3月20日(米国時間)、「Ministerstvo Vnutrennikh Del(MVD、ロシア内務省)」などにより、フィッシング詐欺を働いていた 8人の逮捕という朗報が届きました。米国の州立アラバマ大学バーミングハム校の Gary Warner 教授は、自身のブログ「Cybercrime and Doing Time」で、直接捜査協力していたセキュリティ企業とトレンドマイクロのリサーチャーが協働していた経緯も含めて今回の逮捕についての詳細を紹介しています。この逮捕劇については、Warner 教授のブログをご参照ください。
続きを読む2012年3月6日(米国時間)、米連邦裁判所は、同国政府の要請を承認し、DNSチェンジャーと呼ばれる不正プログラムによる感染被害者の救済目的で設置した安全な DNSサーバの運用が 120日間延長されることとなりました。米国政府は、当初、不正な DNSサーバを正常な DNSサーバに置き換えることを民間企業に許可する要請について承認を受けていました。この当初の決定では、2012年3月8日までにその代替サーバの運用が停止されることが決められていました。しかし、今回の決定により、これらのサーバがさらに 4カ月間稼働されることとなりました。この期間延長により、DNSチェンジャーの被害者にとっては PC復旧のための時間がさらに猶予されることとなりました。この期間延長については、エストニアの裁判所が「Rove Digital」の子会社である「Esthost」の運営に関与していた 4名の身柄を新たに引渡す承認をした数日後に決定されました。2011年11月に逮捕された 6人の容疑者全員、エストニア政府の承認のもと、米国に引き渡されることになります。
続きを読む「実際に証拠があるなら、法的機関は(我々の逮捕という)行動に出ているはずだ。しかし、その可能性は極めて低いと思うよ」
上記は、Rove Digital および Esthost の広報担当者だった Konstantin Poltev容疑者による、2008年10月13日当時の発言です。
このように、自身の逮捕の可能性がほとんどありえないと自信満々に公言したサイバー犯罪者は過去に何人もいました。しかし、サイバー犯罪者はその考えを改める時期がやってきたことを知るべきでしょう。2011年は、サイバー犯罪摘発に歴史的な一歩を残した一年でした。法的機関とセキュリティ業界が協力して、巨悪ボットネットの閉鎖やそれら関係者の逮捕が実現したのです。今回から3回にわたって2011年のセキュリティ動向を振り返ります。
まず第一回の本記事では、2011年の摘発における成功例の一部を紹介します。
続きを読む2011年11月8日、長らく活動を続けながら 400万以上のボット(感染コンピュータ)により形成された巨大ボットネットが、トレンドマイクロおよびその他の多数の業界関係者による協力の下、FBI とエストニア警察の捜査によって閉鎖されました。
FBI が「Operation Ghost Click」と呼ぶこの作戦において、ニューヨークとシカゴのデータセンタに対して強制捜査が実施され、100台以上の C&Cサーバで形成されていたインフラが閉鎖されました。同時に、エストニア第2 の都市タルトゥでこの犯罪活動に関与していた複数のメンバーがエストニア警察により逮捕されました。詳細は、FBI のプレスリリースでも報じられています。
続きを読む