eggy 曰く、

世界中で 60 万台以上の Mac を感染させたマルウェア「Flashback」であるが、Kaspersky Lab がその感染ルートを特定した (本家 /. 記事、eWeek.com の記事より) 。

Kaspersky の報告によれば、2 月末から 3 月始め頃、WordPress を用いたブログサイトに Flashback が仕掛けられようだ。ブロガーが脆弱性のあるバージョンの WordPress を使用していたのか、または ToolsPack プラグインをインストールしてしまったのが原因と見られている。攻撃されたブログサイトは推定で 30,000 から 100,000 にもなる見られており、85 % が米国内で生じていたとのこと。

Apple は速やかに Java の脆弱性にパッチを当てるべきだったが、対応の遅れが事態を悪化させたという。同脆弱性が最初に発見されたのが 2 月であり、Oracle は同月内に既に修正パッチを発行していた。だが Apple が Oracle のパッチに頼らずに自社で解決しようとしたため、パッチのリリースが 4 月まで延びてしまったとのこと。

アップルは4月12日にマルウェア「Flashback」の削除ツールを提供開始したが、1週間経過しても感染台数は50万台を超えているという(Dr.Webのニュースリリース、 Forbesの記事、 ZDNetの記事、 本家/.)。

Dr.Webが20日に公開したデータによると感染台数は減少傾向にあるものの、およそ55万台が感染しているとのこと。また、これまで登録されていなかったMacのUUIDが毎日のように出現していることから、Javaの更新を適用していないMacが新たに感染しているものとみられる。一方、KasperskyとSymantecは感染台数が大幅に減少したと発表したが、Dr.WebによればFlashbackが待機状態になり、各社の設置した検出用サーバーでの検出が困難になったことが原因だという。その後SymantecはDr.Webに同意し、正確な数を把握できていないことを認めている(Ars Technicaの記事、 Symantec Security Response's blogの記事)。

taraiok 曰く、

60 万台以上の Mac がマルウェアに感染していたという /.J 記事が先週掲載されたように、今後は Mac もウイルスのターゲットにされる機会は増えてくるだろう。そんな状況下、ロシアのウイルス対策ソフトメーカー Dr. Web 社 の CEO、Boris Sharov 氏は先週、Apple に対して Mac OS X を狙ったマルウェア「Flashback」が強力なボットネットを形成していることを警告したが、Apple は同社を信頼できるセキュリティ会社として認識しておらず、それを無視したとのこと (Forbes の記事、本家 /. 記事より) 。

さらに感染が発覚した後の対応も良くなかったという。マルウェアに感染するとドメイン登録業者のサービスを使って IRC サーバに接続して、ボットネットを形成する仕組み。そこで、Apple は Flashback の指揮統制サーバの置いてあるロシアのドメイン業者に対して、ドメインを停止するよう依頼したが、そのサーバーは Doctor Web 社がボットネットの観察や分析を行うために設置したダミーであり、まったく無関係ものであった。

Sharov 氏によると、ライバルであるマイクロソフトは小さなウイルス対策企業とも連携しセキュリティ対策チームの連絡手段などを確保しているのでこのようなミスは起こさないという。Apple にはウイルス対策会社の仕事に対する理解やコミュニケーションが不足していると指摘している。

headless 曰く、

ロシアのアンチウイルスベンダーDoctor Webの調査によると、60万台以上のMacがマルウェア「BackDoor.Flashback.39」および亜種に感染し、ボットネットに組み込まれているという(ニュースリリース、 BBC Newsの記事、 CNNMoneyの記事、 本家/.)。

BackDoor.Flashback.39はJavaの脆弱性を利用して感染するもの。主に英語圏をターゲットにしているとみられ、感染数全体の95%以上が米国、カナダ、英国、オーストラリアの4カ国に集中している。その他の国はそれぞれ全体の1%以下で、日本では0.1%となっている。なお、脆弱性はアップルが4月3日に公開したアップデートで修正されており、Doctor Webでは早急なアップデートを推奨している。また、F-Secureが感染の確認方法や手動削除方法を公開しているので参考にしてほしい(Flashback.I、Flashback.K)。

taraiok 曰く、

EU議会が現在検討しているEU法の改正案では、サイバー攻撃の実行者に2年以上の拘禁刑が求刑されるという(EU議会のプレスリリース、 TechWeekEurope UKの記事、 本家/.)。

改正案はEU議会のCivil Liberties Committeeで賛成50、反対1、棄権3で承認された。成立すれば、1回のシステム侵入で2年以下の刑と定める英国のComputer Misuse Actよりも重い刑罰となる。このほか、ボットネットによる大規模な攻撃や、多大な被害を与えた場合などは5年以上、IPスプーフィングは3年以上の刑となり、ハッキングツールの作成や配布も違法行為とされる。また、人を使ってライバル企業を攻撃させた場合などは、雇い主の責任も問えるようになる。EU議会のMonika Hohlmeier報告官は、夏までにEU議会と理事会の承認を得たいとしている。

headless 曰く、

今年 1 月、Anonymous の支持者をターゲットにしてトロイの木馬をインストールさせる攻撃が行われていたという (Symantec Connect Community の記事、本家 /. 記事) より。

攻撃が開始されたのは、Megaupload が閉鎖された 1 月 20 日のこと。Anonymous がデータの公開などに使用する Pastebin.com に、DoS ツール「Slowloris」の使い方がポストされた。内容は昨年 5 月に Anonymous が公開したものと同様だが、ダウンロードリンクが変更されており、リンク先の Slowloris には Zeus ボットネットのクライアントが組み込まれていたという。改変版 Slowloris では、DoS 攻撃の裏でオンラインバンキングや Web メールの認証情報および Cookie を C&C サーバーに送信する仕組みになっていたとのことだ。翌日には各種 DoS ツールのダウンロードリンクや使い方のまとめがポストされているが、前日のポストからコピーしたとみられる改変版 Slowloris のダウンロードリンクが含まれており、これが Twitter を通じて広まったらしい。

ある Anonymous Coward 曰く、

米マイクロソフトは今月 16 日、大規模ボットネット Rustock の遮断に成功したと発表したとのこと (japan.internet.com の記事、本家 /. 記事より) 。

/.J 記事) 。2010 年末には毎日平均 40 億のスパムメールが Rustock から送られており、一時にはスパムの 47.5 % が Rustock から送られていたとされていた。Rustock 遮断によりスパム量は世界的に 1/3 程減ったという。

なお、2011 年に入ってからは Rusotck ではなく Bagle が最も活発なスパム送信ボットネットとして君臨しているとのことだ。

elderwand 曰く、

某セキュリティサイトから送られてくるメルマガで知ったのだが、この 2 月に、巨大ボットネットを運営するグループのメンバー 3 人がスペイン警察に逮捕されていたらしい (ITmedia News の記事より) 。

ボットネットの名前は Mariposa (スペイン語で蝶の意味) 。カナダの情報セキュリティの会社 Defence Intelligence、Georgia Tech Information Security Center などで Mariposa Working Group (MWG) を結成し、調査を進めていた。2009 年 12 月には MWG が Mariposa を制御するまでに至った。

これに激怒したグループのリーダー Netkairo は、あらゆる手段を用いて Mariposa を取り返そうとする。最終的に奪還に成功すると、Defence Intelligence に対し DDoS 攻撃を開始する。この攻撃に対して DNS を書き変えるなどして DDoS 攻撃に対処した MWG だが、同時に Mariposa が何台のコンピュータ (IP アドレス数) から構成されているかも観測する事となった。その数なんと 1200 万以上。ところがこの奪還の過程で Netkairo は過ちを犯していた。それまでは、自分の居所を隠すため匿名 VPN を利用していたのだが、あせったのかそれでは不可能だったのか、直接自宅から接続してしまったのだ。

自宅がバレた Netkairo は 2 月 3 日にスペイン警察に逮捕された。押収資料 (computer materials) から 2 人のスペイン人メンバーも割り出され、2 月 24 日に逮捕となった。押収資料に含まれる個人情報 (クレジットカードとかパスワードとか) は 80 万人分とか。また、ボットネット運営に必要となるツールや匿名 VPN などは、それらを供給する独自の複雑なネットワークがあり、さらに、ボットネット利用者 (ネットを貸したり、カード情報を買ったり) の方もネットワークがあることがわかった。

以上は、MWG の一員であった、PANDA Labs のブログからの要約のつもり。詳しくは、元記事をどうぞ。

あるAnonymous Coward 曰く、

マイクロソフトはボットネット制御に使われているドメインネーム277個を無効化する許可を裁判所から得、その無効化が予告なしに実行されたそうだ（本家記事）。

東ヨーロッパの巨大なボットネット「Waledac」は毎日15億のスパムメールを送り、何十万ものマシンへと感染を広げているという。これに関し、マイクロソフトは27の被告人不特定のまま連邦法違反として裁判を起こしており、ドメインネーム登録機関Verisignに対しこれらドメインを無効化し、サーバがボットネットを操作できないよう要請していたそうだ。

この要請が連邦地方裁判事によって認められ、極秘のうちにシャットダウンが行われるよう手配されたとのこと。これによりWaldac管理者らによるドメイン替えを防げたとのことだ。

あるAnonymous Coward 曰く、

本家/.より。

今年7月から、中国で販売される全てのパソコン製品にインストールされるという、有害サイト遮断ソフトウェア「Green Dam Youth Escort」を利用した、世界最大のボットネットが構築される可能性が指摘されている（/.J過去記事）。

ボットネットは、政府によって意図的に構築される可能性もあるし、脆弱性を利用したものとなるかもしれないという。Social SignalのブロガーRob Cottingham氏は、このソフトウェアが青少年を有害なコンテンツから守るだけでなく、今後中国政府にとって不利益となるサイトへのアクセスを禁ずる「検閲ソフト」となる可能性を危惧している。さらにアップデートの際、ボットネットを構築するような更新が中国政府によって意図的に配布されないとも限らないと指摘している。

また、ミシガン大学の検証によると、このソフトウェアがインストールされているコンピュータを第三者が制御できる重大な脆弱性が見つかったとのこと。この脆弱性を悪用すればコンピュータ内のデータにアクセスしたり、スパムを送信したり、ボットネットに組み込むことも可能という。また、ソフトウェアのブラックリスト更新処理にも脆弱性が見つかっており、アップデート時に悪意あるプログラムがインストールされる恐れもあるそうだ。ちなみに、同大学の検証ではこのソフトウェアが利用しているフィルタリストの一部は米国のフィルタリングプログラムCyberSitterのブラックリストであることが明らかになったそうだ。

otk 曰く、

英国BBCが、コンピュータ犯罪の脅威を伝えるTV番組の中でボットネットを使用したデモンストレーションを行い、議論を呼んでいる（本家/.、The Register、読売新聞の記事）。

この番組「BBC Click」では、2万2,000台のゾンビPCを支配下に置くボットネットをアンダーグラウンドなサイトで入手。実際にそれを使用して、特定サイトへのDDoS攻撃や数千通のスパム・メール送信実験を行い、放映した（番組サイトの内容紹介／動画）。DDoSの攻撃対象サイトやスパム・メールの送信先アドレスは番組側で用意したものだったが、ゾンビPCの所有者に対しては無断で実験が行われた。また実験後、同番組はゾンビPCの壁紙を変更し、ボット感染を通知するメッセージを掲示している。

あるAnonymous Coward曰く、"日経ITProの記事によると、米SANS InstituteがLinuxに感染するbotを複数確認したと発表したらしい。 多くの場合、phpアプリケーションのセキュリティホールを突いて感染を広げているようで、複数の脆弱性に対する攻撃手段を持ったものが増えているそうだ。
また、同じ記事でNANOGのMLに投稿されたLinuxによるbotnetのDDoS攻撃の報告も紹介されており、それによるとピーク時で6Gb/sものDDoS攻撃のトラフィックを出したという。

実はこの話、海の向こうだけ話ではない。ITProの記事では何故か触れられていないが、このbotnetの指令サーバは日本にホスティングされており、bot感染ホストの一部には日本のサーバが含まれているのだ。botのIPアドレスリストも掲載されているので、自分の関わるサーバが含まれていないか、または含まれていなくても怪しいIRC通信がサーバから行われていないか確認してみよう。"