「WireX」に乗っ取られた世界14万台のAndroid端末が攻撃、Googleは300種の不正をストアから削除

世界100か国で少なくとも14万台のAndroidデバイスが乗っ取られ、大規模なDDoS攻撃に加担するという衝撃の事件が発生しました。不正行為を行う「WireX」というボットネットが仕込んだアプリをダウンロードしたユーザーのデバイスは、知らぬ間にこの攻撃を行う側になっていたということです。

米CloudFlare社によると、感染源となるアプリは動画や音楽を再生するプレイヤーや着メロなど、誰でも使えるツール系の無料アプリでした。GoogleはアプリストアGoogle Playに公開されていた約300種類の「WireX」アプリを削除する手続きを開始し、アンチウィルスソフトはこのアプリをマルウェアとして認識する手配をしたとのことです。

世界規模のDDoS攻撃が増えたのは2017年8月初頭頃からで、多くの米CloudFlare社やAkamai社を筆頭としたコンテンツ配信ネットワーク(CDN)各社を悩ませていました。分かっているのはAndroid端末であるということだけ。

CDN各社は連携してこの世界規模のボットネット被害を食い止めるためコンソーシアムを結成。Akamai・Cloudflare・Flashpoint・RiskIQの各社が共同で公開した記事等によると、2017年8月15日頃から継続的に攻撃が検出され、ピークである8月17日には世界100か国で14万台のAndroidデバイスが感染したとみられるとのことです。

CDN連合が公開したWireX感染Android端末増加傾向を表すグラフ

正常なアプリに見えるWireXの驚異

最初に発見された「WireX」が仕掛けられたAndroidアプリケーション「twdlphqg_v1.3.5_apkpure.com.apk」には不正な動きが認められなかったといいます。しかし、これらのアプリはユーザーの知らぬ間に「WireX」からの号令に従い、大規模なDDoS攻撃に加担していました。

CDN連合の研究者達はこれら一連の「WireX」アプリに共通する痕跡(ユーザー・エージェント)が記録されているのを発見し、その駆除に乗り出すことができたとのことです。現在、この「WireX」アプリはトロイの木馬型マルウェア「Android Clicker」として認知され、アンチウィルスソフトなどで駆除可能になっているとのことです。

【関連URL】
 ・The WireX Botnet: How Industry Collaboration Disrupted a DDoS Attack
 https://blog.cloudflare.com/the-wirex-botnet/

蛇足:僕はこう思ったッス

maskin-bit-2016

インターネット上の不正行為は日ごとに巧妙化しており、もはや世界中の大手ネット企業らが連携して解決に当たらない限り対応ができなくなっている。IoTデバイスへのウイルス感染からDDoS攻撃が発生したのは記憶に新しいし、アプリ開発SDKにウイルスが仕込まれていたなんてこともある。開かれたネットワークだからこそ起こりうるDDoS攻撃。ただ、これを閉じてしまってはインターネットの存在意義が薄れていってしまう。この戦いは当面終わりそうもない。ユーザーは少なからずこうした事実を知っている状況だが、情報が不足している(もしくは理解が難しい)せいか逆に過度に使用を控えてしまうケースもある。そうなったら、それはそれで攻撃者は満足してしまうわけで、私たちは理解し勇気を持って対峙し続ける必要があると思う。