6時間ごとにコードを自動更新検知困難なマルウェア「Qbot」が攻撃に失敗した残念な理由

短期間にコードを改変することで検知を困難にしているマルウェアが活発化し、多くのコンピュータが感染しているという。ただし、ある組織は意外な理由で攻撃を防ぐことができた。

[Warwick Ashford，Computer Weekly]

　BAE Systemsのインシデント対応チームは、伝染力の高いマルウェア「Qbot」について警告を発している。

　このマルウェアは「Qakbot」とも呼ばれ、民間企業や公共機関のコンピュータから盗んだ2GBの機密データを毎週FTPサーバにアップロードしていた。この中には、英国のNHSネットワークのコンピュータ1100台も含まれていた。

Computer Weekly日本語版　6月8日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　6月8日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　6月8日号：ブロックチェーンのススメ

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　このマルウェアが形を変えて再び出現した。全世界5万4000台以上のコンピュータに感染し、乗っ取ったコンピュータをボットネットに追加したといわれている。感染したコンピュータの85％は英国のコンピュータだ。

　BAE Systemsのホワイトペーパーによると、このマルウェアはバックドアを備えたネットワーク認識型のワームで、資格情報の入手を主な目的としている。さらに、エクスプロイトキット「Rig」を使って拡散される。

　さらに、6時間ごとに自動更新され、そのたびに暗号化されたさまざまなバージョンのQbotが生み出される。ウイルス対策ソフトウェアが更新される頻度はその速さに追い付かないため、マルウェアの拡散が促される。

　Qbotはサンドボックスで実行されていることも察知し、状況に応じてその動作を変えて検出されるのを防ぐ。

　調査によると、標的の中にある特徴を持ったコンピュータが数台含まれていたことが攻撃の成功を防いだという。それは実に「残念な理由」だった。

続きはComputer Weekly日本語版　6月8日号にて

本記事は抄訳版です。全文は、以下でダウンロード（無料）できます。

• Computer Weekly日本語版　6月8日号：ブロックチェーンのススメ

■Computer Weekly日本語版 最近のバックナンバー

Computer Weekly日本語版　5月25日号：ビジネス化するランサムウェア

Computer Weekly日本語版　5月11日号：新トランジスタで蘇るムーアの法則

Computer Weekly日本語版　4月20日号：多くの企業がやっているセキュリティミステイク