「Necurs」ボットネットは、2016年に多くのマルウェアを拡散した世界最大級のスパムボットネットだ。数百万もの悪意ある電子メールを送って「Locky」ランサムウェアを拡散させ、Lockyは2016年の最も有名なランサムウェアの1つとなった。しかし2016年12月後半に、動きが見られなくなった。
犯罪者らがクリスマス休暇に入ったと推測されていたが、Necursは2017年に入っても活動を開始しなかった。しかし、Symantecのサイバーセキュリティ研究者らは、Necursの背後にいる集団が新たなコマンド&コントロール(C&C)サーバを2月に用意し、米国時間3月20日に新しいスパムの動きを再開していると報告した。
Symantecによると、これ以降スパムキャンペーンが展開されている時間に1時間あたり10万件もの電子メールを遮断しているという。だがこの数字は、ボットネットから送信された全スパムのほんの一部だ。
提供:Symantec
そして今回、ボットネットを運営している集団は構築した感染デバイスのゾンビをランサムウェアの配信には使わず、まったく別のことに使っているという。
電子メールは、標的に株式の情報を提供するものと装い、被害者が以前投資に関するニュースレターに登録していたとする場合もあるという。電子メールでは、その送信者が特定の企業の内部情報を持っており、その企業の株が現在取引されている10倍以上の価格で売られるなどと記しているという。
典型的な「パンプアンドダンプ」という株価操作の詐欺の一部のようだとSymantecは述べている。詐欺を行う犯罪者は、小規模な企業の株式を大量に取得し、電子メールを使って買収や新製品などの偽のうわさを流しているという。株価が上がると詐欺師らは株式を売却し、偽のうわさを信じて実際に株式を購入した人は損をしたまま投資をほとんど回収できないことになる。
Necursの復活は、ボットネットが依然として機能を維持していることを示している。Necursのホストの多くが2年以上前から感染しているが、ボットネットはできるだけわからないように存続するテクニックを持っている。感染したホストは2〜3日間スパムを送るのに利用され、その後2〜3週間活動を停止して、再びスパムの送信を継続している。
Necursが将来またマルウェアの送信を開始するのかどうかはわからない。だがこのネットワークは成功しており、引き続き脅威であるということに変わりない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
