Google、情報窃取や暗号通貨マイニングを行なうボットネットを阻止

Gluptebaの配布に用いられていたソフトウェアダウンロードページを模したWebページ

　Googleは7日(現地時間)、Windows PCを標的として認証情報の窃取や暗号通貨のマイニングなどを行なう大規模ボットネット「Glupteba」に対し、活動を阻止するための取り組みを実施したと報告した。

　Gluptebaは、Windows PCに感染し、ユーザーの認証情報やCookieを盗んだり、標的のPC上で暗号通貨のマイニングを行なったり、プロキシコンポーネントを展開したりするボットネット。ブロックチェーン技術を活用し、C2サーバーとの通信を回復する機能を持つのが特徴。

　GoogleのThreat Analysis Group(TAG)の調査の結果、Gluptebaボットネットを運用している人物が提供する複数のオンラインサービスを特定。認証情報をロードした仮想マシンへのアクセス権や、プロキシアクセス、クレジットカード番号の販売、悪意ある広告やGoogle広告を通じた支払詐欺などを提供していたという。

Google広告を通じて配信された暗号通貨詐欺広告

　TAGではCyberCrime Investigation Groupと協力し、Googleサービスを利用したGluptebaの活動に対する妨害をこの1年間で実施。Glubtebaの配布に関わっていたとみられる6,300万ものGoogleドキュメントに加え、1,183のGoogleアカウント、908のCloudプロジェクト、870のGoogle広告アカウントを停止した。また、Googleセーフブラウジングにより、350万ユーザーに対し悪意あるファイルのダウンロード前に警告を行なった。

　さらにここ数日間は、Cloudflareなどのインフラ業者やホスティング業者と協力。悪意あるドメインへのアクセスに対して警告を発するインタースティシャルWebページ(画面遷移時に挿入されるWebページ)を設置した。

　また、Gluptebaの分析や妨害とあわせて、ロシアを拠点にこれを運営しているとみられる2人の個人に対し、コンピュータの不正な使用を禁止するComputer Fraud and Abuse Actなどに違反しているとして訴訟も起こした。

　TAGでは、こういった措置はGluptebaの完全停止までには至らないものの、今後の活動に対して大きな影響を与えられるとしている。