マイクロソフトが木曜日に明らかにした調査によると、中国で販売された新品のノートパソコンやデスクトップパソコンには悪意のあるソフトウェアがプリインストールされており、世界中の何百万台ものパソコンが感染しているという。
マイクロソフト社によると、偽造Windows OSに埋め込まれたこのマルウェアは、ユーザーをスパイし、サービス拒否攻撃を実行するように設計されている。同社は、今回の発見はコンピューター部品のサプライチェーンの健全性に新たな疑問を投げかけるものだと警告した。
サイバー犯罪者は「あなたを狙っています」と、マイクロソフトのデジタル犯罪対策ユニットの副法務顧問、リチャード・ドミンゲス・ボスコビッチ氏は述べた。「彼らはどんな手段を使ってでも攻撃します。もしサプライチェーンが彼らのコンピューターへの侵入経路となるなら、彼らはまさにそうするでしょう。」
「オペレーションb70」と名付けられたマイクロソフトの調査は、「Nitol」に感染したコンピューターに接続されたコマンドアンドコントロールシステムのシャットダウンで最高潮に達しました。Nitolはルートキットと呼ばれる悪意のあるソフトウェアで、調査対象となったコンピューターの一部にプリインストールされていました。Nitolはリムーバブルドライブを介して急速に拡散します。
同社は、偽造ソフトウェアやボットネットに対する積極的な取り組みを主導し、サイバー犯罪活動の根絶を目指してきた。同社のオペレーティングシステムは世界中で広く使用されているため、その多くはWindowsユーザーを標的にしている。
同社の捜査員は、中国人に対し、中国各地の都市にあるいわゆる「PCモール」でノートパソコンとデスクトップパソコン20台を購入させた。ボスコビッチ氏によると、これらのマシンはすべてWindows XPまたはWindows 7の偽造品だった。3台には非アクティブなマルウェアが含まれていたが、4台目にはインターネットに接続すると起動するマルウェア「Nitol.A」が含まれていたという。
このノートパソコンは、中国広州に拠点を置く大手メーカーHedy社によって製造され、深圳で購入された。マルウェアが未活動状態だった他の3台のパソコンは「大手メーカー」製だったが、マイクロソフトはブランド名を明らかにしていないとボスコビッチ氏は述べた。
コンピュータが感染したのは工場出荷後だと考えられています。中国では、多くのコンピュータがDOSのみで出荷され、OSは後からインストールされます。「小売や卸売のサプライチェーンのどこかで何かが起こるのです」とボスコビッチ氏は言います。
海賊版ソフトウェアは感染する
ボスコビッチ氏は、西側諸国の消費者はこの種の改ざんの被害を受けにくいかもしれないが、インターネットから偽造ソフトウェアをダウンロードした場合は危険に直面すると述べた。
このマルウェアの発見をきっかけに、ドメイン「3322.org」を通じて制御されていたNitolボットネットに関するより大規模な調査が開始されました。ボスコビッチ氏によると、このドメインは2008年から悪意のある活動に関連づけられてきたとのことです。
ボスコビッチ氏によると、3322.orgドメインには、約7万のサブドメインに500種類以上のマルウェアがホストされていたという。マイクロソフトのブログ投稿によると、ホストされていたマルウェアは、コンピューターのマイクやビデオカメラの起動からキー入力の記録まで、様々な悪意ある機能を実行できるという。
マイクロソフトは9月10日、バージニア州東部地区連邦地方裁判所から3322.orgドメインの管理権取得の許可を得た。同社は、同ドメインの所有者である彭勇氏と彼の会社である常州北徳康木ソフトウェア技術(通称ビットコム)およびその他3名の匿名の被告に対し民事訴訟を起こした。審理は9月26日に予定されている。
ボスコビッチ氏によると、マイクロソフトはヨン氏に、悪意あるドメインを登録した人物を特定してほしいと考えているという。ウェブサイトはサブドメインであるため、その情報はヨン氏だけが保有していることになるからだ。「現在、ヨン氏に連絡を取ろうとしているところです」とボスコビッチ氏は述べた。「必ずしも彼がボットネットを運営していると主張しているわけではありません。」
3322.orgは現在、Microsoftによって管理されています。このドメインは正規のウェブサイトもホストしているため、MicrosoftはNominumのDNS(ドメインネームシステム)ソフトウェアを使用しています。このソフトウェアは、3322.orgのサブドメインへの正規のトラフィックは許可する一方で、7万件の有害なウェブサイトへのトラフィックを遮断します。このプロセスは「シンクホール」と呼ばれています。
ベライゾン、コムキャスト、BTなどのサービスプロバイダーにDNSサービスを提供するノミナムの固定ブロードバンド担当ゼネラルマネージャー、クレイグ・スプロスト氏は、DNSをこのように利用することは、新しく最先端のアプローチだと述べた。その利点は、違法行為を行っていないウェブサイトは引き続き運営されることだ。
「今回の作戦は少々特殊だ」とスプロスト氏は述べた。「ドメインの削除はこれまでもあったが、今回はいわば外科手術的な攻撃だった」
感染したコンピュータに関しては、マイクロソフトは感染した顧客がいる ISP に通知し、ISP はコンピュータからマルウェアを除去する措置を講じることができます。
ニュースのヒントやコメントは[email protected]までお送りください。
