米司法省(DOJ)と連邦捜査局(FBI)は米国時間2011年4月13日、不正プログラム「Coreflood」に感染した多数のコンピュータからなる大規模ボットネットを閉鎖したと発表した。Corefloodボットネットは10年近くにわたって操作され、感染したコンピュータは世界で200万台を超えると見られる。
CorefloodはWindowsパソコンのぜい弱性を突いて侵入し、パソコンを外部から遠隔操作できるようにする。ボットネット制御(C&C)サーバーと通信して、個人情報や銀行関連の機密情報などを盗み出す。
当局は犯罪者グループの13人を詐欺などに関与した疑いで民事提訴したほか、米国内に置かれている5台のC&Cサーバー、およびC&Cサーバーの通信に使われていた29のドメイン名を差し押さえた。また保全命令を取得した上で、C&Cサーバーを代用サーバーに置き換え、感染したコンピュータにマルウエアを停止するコマンドを送信して攻撃拡大の阻止を図った。
DOJとFBIは、米国のインターネット・サービス・プロバイダー(ISP)と協力して感染したコンピュータの確認とユーザーへの通知を行い、詐欺被害などを最小限に抑えることに取り組むとしている。
なお、米メディアの報道(New York Times)によると、今回の摘発で使われた技術的方法は、昨年オランダ当局が「Bredolab」ボットネットを遮断する際に用いた手段と同様のものだという。
[発表資料へ]
