FBI が北朝鮮の大規模ボットネットに切り込む

米政府は以前から Joanap に潜入して探索し、撲滅を試みてきました。Joanap とは、北朝鮮のボットネットマスターによって乗っ取られ、操作されている Microsoft Windows コンピュータのボットネットです。

Joanap が最初に発見されてから何年も経過しているにもかかわらず、また Joanap に対して有効なウイルス対策ソフトウェアが存在しているにもかかわらず、今なお Joanap に乗っ取られたままになっているシステムの所有者に対し、米連邦捜査局 (FBI) は警告を出し続けています。

米国司法省 (DOJ) は先週水曜日、この取り組みは北朝鮮の政権が支援するプログラマー Park Jin Hyok に対する起訴 (2018 年 9 月に裁判所記録を公開) に続くものであることを発表しました

北朝鮮支援のボットネット

Park に対する訴状は、Park および共謀者が Brambul と呼ばれる Server Message Block (SMB) ワームを使用してコンピュータに不正アクセスした後、それらのコンピュータを使って大規模なサイバー攻撃を実行したという内容です。

その中には、2017 年に世界的な被害をもたらした WannaCry ランサムウェア攻撃、2014 年の Sony Pictures への攻撃、2016 年にバングラデシュ中央銀行から 8,100 万ドルが盗まれたサイバー強盗などが含まれます。

この訴状は、北朝鮮人の Park が北朝鮮政府主導のハッキンググループ「Lazarus Group」のメンバーであり、北朝鮮政府のフロント会社である Chosun Expo Joint Venture (別名 Korea Expo Joint Venture、KEJV) に勤務し、政府に代わってサイバー活動を支援していた、と申し立てています。

Guardians of Peace または Hidden Cobra とも呼ばれる Lazarus Group は、有名なサイバー犯罪集団です。US-CERT は 2017 年 6 月、北朝鮮のサイバー攻撃の危険性とその防御のために古いソフトウェアにパッチを至急適用する必要性について企業に警告するという極めて異例の措置を取りました。

この警告で特に名指しされていたのが Lazarus Group です。異例だったのは、US-CERT が詳細情報を提供したうえで、企業に Lazarus Group/Hidden Cobra/Guardians of Peace による活動を検出した場合には米国国土安全保障省 (DHS) に報告するよう依頼した点です。

具体的には、US-CERT は企業に対し、DDoS ボットネットの活動、キーロギング、リモートアクセスツール (RAT)、ディスクを消去するマルウェア、および WannaCry などの SMB ワームマルウェアを警戒するよう指示しました。

捜索令状の発行

US-CERT が 2018 年 5 月のアラートで解説しているように、Joanap RAT はいわゆる「第 2 段階」のマルウェアであり、「第 1 段階」の Brambul マルウェアによって拡散するのが一般的です。

米国の主張によれば、Joanap がシステムにインストールされると、北朝鮮政府によるリモートからのコンピュータアクセス、感染したコンピュータへのルートレベルのアクセス、および別のマルウェアのインストールが可能になります。

Joanap に感染したコンピュータ (「ピア」または「ボット」と呼ばれます) は、その後ボットネットに取り込まれます。Joanap ボットネットは、集中型の C&C ドメインではなく、分散型のピアツーピア (P2P) で通信します。

10 月にカリフォルニア州の裁判所が裁判所命令と捜索令状を発行し、これを受けて FBI と米空軍特別捜査局 (AFOSI) は、Joanap ボットネットのピアのふりをするサーバーの運用を開始しました。

結果、FBI の偽のピアは、IP アドレス、ポート番号、接続のタイムスタンプなど、検事当局が言うところの「Joanap に感染した他のコンピュータに関する限定的な識別情報および技術情報」を収集することに成功しました。

FBI と AFOSI は収集した情報に基づいて、Joanap ボットネットに組み込まれている感染コンピュータのマップを作成しました。

捜索令状が発行された 10 月ではなく、今になって上記の件が明らかになったのは、逃亡または証拠の改ざんや隠滅のおそれがあることを理由に、裁判所が FBI に対して先週の水曜日まで令状の送達を遅らせる許可を与えたためです。

何はともあれ、感染してボットネットに加わったコンピュータの IP アドレスを監視することによって、FBI は感染したシステムの所有者にも警告することができました。今後も被害者は、自分の ISP 経由で (コンピュータとインターネットの間にファイアウォールやルーターを設置していない場合は個人的な通知で) 警告を受けることになります。米国外の被害者については、FBI の駐在官を通じてなどの方法で、受け入れ国の政府に連絡を取っています。

既知の古い脅威が現在も脅威であり続ける理由

Joanap ボットネットが何年も前に発見されたにもかかわらず、そしてウイルス対策ソフトウェアによって検出が可能であるにもかかわらず、影響を受けるコンピュータが世界中にまだ存在する、と米司法省国家安全部門担当司法次官補 John Demers 氏は DOJ のプレスリリースの中で述べています。

米国の弁護士 Nicola T. Hanna 氏は次のように述べています。

(引用文日本語訳) Joanap ボットネットは何年も前に発見され、ウイルス対策ソフトウェアで阻止が可能であるにもかかわらず、このボットネットの基盤となっているマルウェアに感染しているコンピュータが多数特定されました。Joanap ボットネット撲滅の取り組みの一環として本日発表された捜索令状および裁判所命令は我々にとって、サイバー犯罪者がボットネットを使用してコンピュータに侵入し、被害を及ぼすのを防ぐための数多くのツールの 1 つに過ぎません。

2009 年と同様のパッチ適用を

実際、第 2 段階の Joanap ボットネットと第 1 段階の Brambul ワームは、(優れたウイルス対策製品によって駆除が可能であっても) 2009 年以来存在し続けています。

皆さん、入手可能な保護機能をぜひ活用してください。これらの保護機能は 10 年後も必要なはずです。

FBI のロサンゼルス支局長 Paul Delacourt 氏は次のように述べています。

(引用文日本語訳) コンピュータユーザーには、この種のマルウェアによる被害を受けないように、ソフトウェアの更新やウイルス対策製品の使用などの予防措置を講じることをお勧めします。

Sophos HomeIntercept XXG Firewall などのソフォス製品はすべて、Joanap への感染を防ぎます。