販売されている PC に組み込まれた Nitol ボットネットのTakedown(オペレーション b70)


 2012/9/13 にマイクロソフトデジタルクライムユニット (DCU) から、「Microsoft Disrupts the Emerging Nitol Botnet Being Spread through an Unsecure Supply Chain」というタイトルで、オペレーションb70 と名付けられた活動により、市場で販売されている PC から Windows の海賊版に Nitol と呼ばれるボットが仕込まれていたこと、そして Nitol ボットネットの活動を根絶(takedown) したことを発表しました。

 Microsoft Disrupts the Emerging Nitol Botnet Being Spread through an Unsecure Supply Chain
http://blogs.technet.com/b/microsoft_blog/archive/2012/09/13/microsoft-disrupts-the-emerging-nitol-botnet-being-spread-through-an-unsecure-supply-chain.aspx

 

 今回の事案のような、マルウェアが埋め込まれた安全ではない PC やソフトウェアを避け、安心してPC を利用するためには、以下の点にご注意ください。

  •  コンピューター、ソフトウェアともに、信頼できる販売元から購入する
  • 不自然に安価で売られているPC、ソフトウェア、パーツなどに注意する
  • 利用する PC はソフトウェアを常に最新にアップデートを行う

 より詳しく、ソフトウェアを購入する際の注意事項や正規品の確認方法、偽造品の報告について知りたい場合は、こちらのサイトをご覧ください。

 How to Tell : http://www.microsoft.com/ja-jp/howtotell/default.aspx

 

 製造・流通経路におけるマルウェアの混入

 オペレーション b70 (以下OPb70) では、PC にマルウェアが組み込まれている状態で販売されていることが確認されました。メーカーで製造された PC は、卸売業者や販売店を経て消費者に届きます。この流通経路の安全が確保されていない場合、販売されている PC がマルウェアに感染してしまったり、マルウェアを仕込まれてしまうことがあります。
 今回のような意図的なケースではありませんが、日本でもマルウェアに感染した製品が、流通した事例は少なくありません。これらの事例は、事故による混入であること、また、信頼のできるメーカーのものであったことから、問題の周知や製品の回収が概ね適切に行われています。

 

2006 年 10 月

デジタルオーディオプレーヤー

2008 年 10 月

ハードディスクドライブ

2008 年 10 月

ディスクトップ PC

2009 年 10 月

USB オーディオプレーヤー

2010 年 9 月

Wi-Fi ルーター

 

 これに対し、OPb70 のケースでは、海賊版の Windows と共にマルウェアが意図的に仕込まれていました。この例のように、海賊版は著作権上の問題があるばかりではなく、マルウェアが仕込まれていたり、そもそもソフトウェアが動作しないといった問題がついて回ります。
 今回の事例では、PC に予め組み込まれたマルウェアが、Nitol と呼ばれるボットネットを形成し、電子メール、ソーシャルネットワークのアカウント、銀行口座を盗みだし、悪用していました。そして3322.org と 70,000 を超えるサブドメインを通じてコントロールを行い、500 種類上のマルウェアをホストしていました。そして、USB メディやファイル共有を通じて感染を広めていたことが確認されています。
 デジタルクライムユニット(DCU) は、Nitol ボットネット対策として、3322.org と、そのサブドメインに対する仮処分 (ex parte TRO) が受諾されたことを受け、これらのドメインを新たに作成したドメインサーバーに切り替え、Nitol ボットのコントロールと、マルウェアのダウンロードを遮断しました。


海賊版の問題

 海賊版は世界的な問題で、特定の国や地域に関連した問題ではありません。例えば、日本ではあまり海賊版や違法コピーは存在しないように思われるかもしれません。しかしBSA の調査 (右表) によれば、違法コピー率は低いものの、世界中で 10 番目に高い損害額と位置づけられています[1]。マイクロソフトでは、日本における海賊版対策の一環として、BSA などの業界団体を通じ、オークション事業者もと協力しつつ、オークションサイトを通じた海賊版の販売への取り組みを行っています[2]
 マイクロソフトの海賊版対策については、ニューヨークタイムズの ”Chasing Pirates: Inside Microsoft’s War Room” という記事で紹介されています[3]。そして、この記事の内容は、gizmodo で「Windows と Office の海賊版が多数...人はなぜ、どこで海賊版ソフトを手に入れるのか?」[4]として日本でも紹介されています。

出典: BSA 違法コピー番付 損害部門(2011年)

 

正規版であることを確認する

 マイクロソフトでは、”How to Tell” というサイトで、正規品の確認方法などを紹介するとともに、偽造品の報告を受け付けています。マイクロソフト製品に限らず、ソフトウェアやコンピューターを購入する際に、参考になる内容だと思います。
 正規品ではない、第三者が手を加えたソフトウェアは、今回の事例のようにマルウェアが組み込まれていることが想定されることに加え、正常に動作しない、システムがクラッシュするといった事例も報告されるなど、問題がついて回ります。一方で、正規品を装った販売も、高度に洗練されている場合もあり、正規品か海賊版かを見分けることは、必ずしも簡単なことではありません。一度、ご自身のシステムについても、ご確認をされてみてはいかがでしょうか。


NPO・教育機関・再生 PC 向けのライセンスなどの提供

 海賊版対策と直接の関係はありませんが、マイクロソフトでは、企業市民活動の一環として、NPO や育機関に対して、ライセンスやサービスの提供を行っており、日本においても下記のプログラムを提供させていただいています。

 NPO 向けの無償ソフトウェア寄贈プログラムの提供を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3702

 Office 365 for education (教育機関向けのクラウドサービスの無償提供)
http://www.microsoft.com/ja-jp/office365/education/school-services.aspx

 再生 PC 向けに正規 Windows (R) オペレーティング
システムをライセンス提供 Microsoft (R)  Authorized Refurbisher (MAR) プログラムを開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3680

 

 これらのプログラムに該当する組織の方は、一度内容をご確認されてはいかがでしょうか。


 


[1] BSA 世界ソフトウェア違法コピー調査2011
http://www.bsa.or.jp/file/2011_BSA_Global_Software_Piracy_Study_InBrief.pdf

[2] インターネットオークションを悪用したWindows(R)製品の偽造ソフトウェア対策活動を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3592

[3]Chasing Pirates: Inside Microsoft’s War Room
 http://www.nytimes.com/2010/11/07/technology/07piracy.html?_r=0

[4] WindowsとOfficeの海賊版が多数...人はなぜ、どこで海賊版ソフトを手に入れるのか?
http://www.gizmodo.jp/2011/01/windowsoffice.html

 

 


Skip to main content