オランダ当局は、1700万台のデバイスからなる大規模なボットネットをオフラインにし、その運営を支えていた国内プロバイダーの200台以上のサーバーを押収しました。
今回の措置は、警察が国内のサイバーセキュリティ機関である国家サイバーセキュリティセンター(NCSC)と共同で実施した捜査を受けて行われました。
当局によると、押収されたサーバーは「コンピューター、タブレット、スマートフォンを操り、サイバー攻撃を実行するために使用されていた」とのことです。
ボットネットとは、分散型サービス拒否(DDoS)攻撃、悪意あるトラフィックのプロキシ化、または暗号通貨マイニングなどの違法行為に利用される、侵害されたデバイスのネットワークです。
「調査の結果、ボットネットは少なくとも1700万台の感染デバイスで構成されており、インフラのホスティングに使用されていた200台のサーバーがオランダ国内に置かれていたことが判明した」とNCSCは発表しました。
「その後、警察は捜査目的でホスティングプロバイダーから複数のボットネットサーバーを押収した。当該ホスティングプロバイダーは、犯罪行為に使用されていたとして、ボットネットをオフラインにした。」
当局はボットネットの名称を明らかにしていないものの、地元メディアの報道によると、700万のIPアドレス、150の拠点、10万のクライアントを擁する「ユニバーサルプロキシサービス」を標榜するAsocksというサービスと関連していたとされています。
同プラットフォームは、月額5〜15ドルのサブスクリプション(まとめ購入割引あり)で、法人向け、住宅用、モバイルプロキシを提供しています。
この種のサービスは、専用クライアントを使用して報酬と引き換えに帯域幅を自発的に提供するIPアドレスで構成されることが多いですが、NCSCの今回の措置は、ボットネットに組み込まれていたデバイスの所有者がサイバー犯罪への加担を意図的に行っていたわけではないことを示しています。
BleepingComputerはAsocksに対して本件に関するコメントを求めましたが、公開時点では回答を得られていません。
ネットワーク機器をボットネット感染から守るためには、デフォルトの認証情報を独自かつ強力なものに変更し、最新のファームウェアアップデートを適用し、不要な場合はリモート管理パネルを無効にしておくことが重要です。
検証のギャップ:自動ペネトレーションテストが答えるのは1つの問いだけ。本当に必要なのは6つ。
自動ペネトレーションテストツールは確かな価値を提供しますが、そのツールが答えるように設計された問いはただ一つ、「攻撃者はネットワーク内を移動できるか?」というものです。コントロールが脅威をブロックするか、検知ルールが機能するか、クラウド設定が維持されるかを検証するためには設計されていません。
本ガイドでは、実際に検証すべき6つの領域について解説します。
