週の締めくくりに明るいニュースをお届けできることを、私たちはいつも嬉しく思っています。Operation Endgameと呼ばれる法執行機関の作戦が、長年にわたって活動を続けるSocGholish(別名FakeUpdates)に対して大きな成果を収めました。
SocGholishは少なくとも2017年から活動するマルウェアフレームワークです。ハッキングされた正規のWordPressサイトを悪用し、訪問者に偽のブラウザ・ソフトウェアアップデートを表示することで知られています。ユーザーが巧妙な「今すぐアップデート」のプロンプトをクリックすると、マルウェアがシステムにバックドアを開き、攻撃者に初期アクセスを与えます。このアクセスはランサムウェアやその他の悪意あるソフトウェアの展開に広く悪用されています。この作戦はロシアのサイバー犯罪グループ「Evil Corp」との関連が指摘されており、同グループはかつてZeusやDridexマルウェア、大規模なランサムウェア攻撃やマネーロンダリング計画にも関与していました。
今週、オランダ警察と検察庁は、王立カナダ騎馬警察、FBI、ドイツ連邦犯罪捜査局、ユーロポール、ユーロジャストと連携し、SocGholishのインフラを直接標的にしました。Operation Endgameの一環として、106台のサーバーおよびドメインを停止させ、FakeUpdatesの罠へと訪問者をひそかにリダイレクトしていた感染WordPressサイト14,971件を浄化しました。
捜査官によると、約140万件のWordPressサイトのログイン認証情報が露出していたことが判明しました。あなたのメールアドレスに関連するパスワードが情報漏洩で流出していないか確認するには、Malwarebytes Digital Footprint Scannerをご利用ください。
オランダ当局はハッキング権限も行使し、侵害されたサイトからバックドアとマルウェアを除去しました。また、影響を受けたサイトオーナーへの通知も行い、WordPressのアップデート、多要素認証(MFA)の有効化、パスワードの変更を呼びかけています。
当局によると、感染サイトにはレストランや自動車修理工場といった身近なビジネスも含まれており、利用者が信頼している地元のウェブサイトを閲覧するだけでマルウェアにさらされていた可能性があるとのことです。
この作戦の規模と意義は看過できません。Endgameはこれまでで最大規模のランサムウェアおよびサイバー犯罪に対する国際的作戦と位置付けられており、今回のSocGholish摘発は複数のランサムウェアグループが利用する主要な感染チェーンを断ち切るものです。数千もの一般ウェブサイトと巧妙なマルウェア・アズ・ア・サービスのエコシステムとの連携を遮断することで、法執行機関は将来の被害者の数を減らし、Evil Corpとそのパートナーが活動を続けるコストを大幅に引き上げました。
週末を前に、善意の側が反撃に成功し、確かな打撃を与えたマルウェア事件をお届けできることを嬉しく思います。
