不正送金ウイルス感染端末が国内に4万4000台、警視庁が特定、リモートで“無力化”!?

　警視庁は10日、「ネットバンキングウイルス無力化作戦」を発表した。ネットバンキング利用者を狙った“不正送金ウイルス”に感染している端末を特定し、それらのウイルスが機能しないよう“無力化”させるとともに、その端末の利用者に連絡して駆除を依頼する。

　同庁のサイバー犯罪対策課が、主に日本を標的としているとみられる不正送金ウイルスの感染端末を特定。その数は世界に約8万2000台、うち約4万4000台が国内にあるという。

「ネットバンキングウイルス無力化作戦」における感染端末の分布（警視庁の発表資料より）

　警視庁では、セキュリティ事業者の協力により、感染端末の不正送金被害を防ぐための対策を講じているほか、総務省および一般財団法人日本データ通信協会のテレコム・アイザック推進会議（Telecom-ISAC Japan）と連携し、感染端末の利用者に対して駆除を依頼しているという。連絡を受けた人は、ウイルス対策ソフトの導入、OSおよび各ソフトのアップデートを行うよう呼び掛けている。

　感染端末の不正送金被害を防ぐための対策とは、作戦名にもあるように、ウイルスの無力化だ。「感染PCは、C&Cサーバーから指令を受け取ることで、インターネットバンキングを利用した際に不正送金が実行される恐れがあることから、民間事業者と連携し、これらのウイルスが機能しないよう無力化を行った」と説明している。

　警視庁の公式発表にはこれ以上の詳細説明はないが、一部新聞報道によれば、C&Cサーバーになりかわって警視庁のシステムが感染PCに対して通信し、不正送金が実行されないよう指令する仕組みらしい。

　ウイルスの無力化に関する技術を提供したのはセキュリティ事業者の株式会社セキュアブレインで、同社でも今回の作戦に技術協力したことを発表しているが、技術の詳細については公表できないとしている。

　警視庁によれば、日本独自でこうした大規模なボットネットのテイクダウンを行う取り組みは初めて。

　一方、総務省の発表によると、このウイルスは「VAWTRAK」と呼ばれる種類のもの。警視庁から感染端末の情報提供を受けた総務省およびTelecom-ISAC Japanでは、従来より取り組んでいる「官民連携による国民のマルウェア対策支援プロジェクト（ACTIVE）」を通じて、同プロジェクトの参加ISPに感染端末の情報を提供。各ISPから感染端末の利用者会員に対して注意喚起を行う流れとなっている。

　このようにウイルス感染端末を特定し、利用者に対して駆除を依頼するといった事例はこれまでもあったが、感染端末の利用者に連絡する以前にまずウイルスをリモートで無力化してしまう点が今回の作戦の特徴と言える。

不正送金ウイルス「VAWTRAK」感染端末の利用者に対する注意喚起の流れ（総務省の発表資料より）