マイクロソフトは、FBIおよびテクノロジー・金融サービス分野のパートナーと共同で開始した削除作戦の結果、Citadel金融マルウェアを実行しているボットネットの88%が破壊されたと推定しています。この作戦は当初6月5日に発表されていました。
それ以来、標的のボットネットの一部であったCitadelに感染したコンピューターの約40%がクリーンアップされたと、マイクロソフトのデジタル犯罪対策部門の副法務顧問リチャード・ドミンゲス・ボスコビッチ氏が木曜日のブログ投稿で述べた。
マイクロソフトは、これらのコンピューターがどのようにクリーンアップされたか、またマルウェアに感染したままのコンピューターの数についての情報を求める問い合わせにすぐには回答しなかった。
しかし、ボスコビッチ氏は6月21日の別のブログ投稿で、マイクロソフトは、攻撃者が使用するシタデルコマンドアンドコントロールサーバーに代わるものとして同社が設置した「シンクホール」システムに接続している固有IP(インターネットプロトコル)アドレスが約130万件あるのを確認したと述べた。
ボスコビッチ氏は当時、シンクホールサーバーに接続する際にボットネットクライアントから送信される固有のIPアドレスとユーザーエージェント情報を分析した結果、標的のボットネットに190万台以上のコンピュータが属していると推定したと述べ、単一のIPアドレスを通じて複数のコンピュータが接続できることを指摘した。
同氏はまた、マイクロソフトは被害者への通知と修復を支援するために、他の研究者や、Shadowserver Foundationなどのマルウェア対策組織と協力していると述べた。
Shadowserver Foundation は、ISP やホスティング プロバイダー、ドメイン ネーム システム (DNS) プロバイダーと協力して、ボットネットの脅威を特定し、軽減する組織です。
ボスコビッチ氏が木曜日に発表した統計によると、6月2日から7月21日までの期間にシタデル感染に該当するIPアドレス数が最も多かった国は、ドイツ(全体の15%)、タイ(13%)、イタリア(10%)、インド(9%)、オーストラリアとポーランド(それぞれ6%)だった。シタデル感染IPアドレスの5%は米国にあった。
ボスコビッチ氏は、シタデルボットネットを阻止するための公共部門と民間部門の組織の協力を称賛した。
「我々の総合的な専門知識を組み合わせ、ボットネットを解体するための協調的な措置を講じることで、シタデルの活動を大幅に縮小し、被害者を脅威から救い出し、サイバー犯罪者がビジネスを継続するためのコストを増大させることができました」と彼は木曜日のブログ投稿で述べた。
しかし、セキュリティ研究コミュニティの全員が、削除活動の実施方法に満足していたわけではありません。
閉鎖直後、abuse.ch ボットネット追跡サービスを運営するセキュリティ研究者は、作戦中にマイクロソフトが押収した Citadel 関連ドメイン名約 4,000 件のうち約 1,000 件が、ボットネットの監視と情報収集に使用していたセキュリティ研究者の管理下にあったと推定しました。
さらに彼は、マイクロソフトがシンクホールサーバーに接続していたCitadelに感染したコンピュータに設定ファイルを送信したことを批判し、この行為はコンピュータの所有者の同意なしに暗黙的に設定を変更するものだと述べた。「ほとんどの国では、これは現地の法律に違反する」と彼は6月7日のブログ投稿で述べた。
「シタデルは、被害者がコンピュータからマルウェアを削除できないようにするため、多くの正規のウイルス対策サイトやマルウェア対策サイトへのアクセスをブロックしました」と、ボスコビッチ氏は6月11日にメールで声明を発表しました。「被害者がコンピュータをクリーンアップできるよう、ノースカロライナ州西部地区連邦地方裁判所の裁判所命令により、世界中のコンピュータが米国でホストされているシタデルのコマンド&コントロール構造にチェックインした際に、マイクロソフトはこれらのサイトのブロックを解除することができました。」
