Android向けマルウェア「WireX」を複数企業が協力して封じ込めに成功!

複数のCDN(コンテンツデリバリーネットワーク)とコンテンツプロバイダーがAndroid搭載製品を踏み台にする「WireX」と呼ばれる“ボットネット”(攻撃者がウイルスなどを利用して不正に乗っ取ったデバイスから一斉にDDoS攻撃を仕掛けるもの)から大規模な攻撃を受けたと2017年8月17日に報告しました。

その後、攻撃を受けてから11日経った2017年8月28日に、flashpointやAkamai、CloudFlare、RiskIQが同時にこのWireXを封じ込めることに成功したと発表しました。

WireXはAndroidのアプリ配信マーケット「Google Playストア」で配布されていた約300本のアプリに仕込まれており、これらの企業やGoogle、Oracle、Team Cymnなどに所属する研究者が協力して対応に当たり、素早く解決に至ったということです。

【当初はごくごく小規模な攻撃だった】

WireXからの攻撃は、大規模な攻撃が発生する前の2017年8月2日に観測されていました。しかしながら、当初の攻撃はごくごく小規模で、少数の乗っ取られたAndroid搭載製品から攻撃されるだけにとどまっていました。

そういった油断からか、WireXはそれから2週間も経たないうちに乗っ取られたAndroid搭載製品は莫大な数に増え、その攻撃も非常に大規模なものとなってしまいました。わずか2週間弱の間になぜここまで大規模な攻撃に発展してしまったのでしょうか?

【Google Playストアに公開された約300のトロイの木馬が原因】

WireXの感染減について調査を進めていくと、その感染減はGoogle Playストアで配信されている「トロイの木馬」(正常なアプリとして動作しているように見せかけて裏では破壊工作などを行うウイルスのこと)が原因だということが分かりました。

なんとその数、実に約300個!さまざまなジャンルのアプリとしてトロイの木馬が配信されていました。

tongwan-2089259_1280

このWireXが仕込まれたアプリをインストールすると一見、通常のアプリとして動作するように振る舞いますが、バックグラウンドでひそかにWireXの開発者(=攻撃者)が用意したサーバーと通信を行い、攻撃のターゲットを感染したAndroid搭載製品に指示して攻撃を行うようになります。

分析を進めていった結果、感染したAndroid搭載製品を画面ロックして放置していたも勝手に指定されたターゲットを攻撃するようになっていました。

wirex
Playストアで実際に配信されていた、WireXが仕込まれたアプリケーション例(Akamaiより)


【IoTウイルス、Miraiを彷彿とさせる】

こういった振る舞いは、以前に紹介したIoT製品を対象とした「Mirai」を彷彿とさせるウイルスだと感じました。ただし、WireXと比べてMiraiは、IoT製品を対象としていたため、感染する対象製品数が多く、感染拡大についてもMiraiの方が大規模だったので全世界的に大きな被害をもたらしました。

もちろん、WireXも甚大な被害を出したことに変わりはないのですが、Miraiと比べると被害の大きさが小さく、かつすぐに封じ込めに成功したのが功を奏しました。では、封じ込めはどうやって行ったのでしょうか?それはAndroidの“ある仕組み”が貢献しています。

【Google Playプラットフォームの強み】

今回の報告を受け、GoogleはWireXが仕込まれている約300本のアプリをGoogle Playストアから削除し、感染したAndroid搭載製品に対しては、WireXが仕込まれた該当アプリを削除するように対応を進めています。

Miraiと違うのはまさにここで、AndroidではGoogle Playストアを利用している製品に対して、Googleが締め出しを行うことができるため、感染拡大を防ぐどころか、封じ込めを迅速に行うことができるのです。

捉え方によっては、Googleがいつでも特定のアプリを無効化できるという“キルスイッチ”が存在するため、完全なオープンプラットフォームではないと考えられるかも知れません。

ですが、WireXのようなマルウェアが登場した際には、迅速に対応を取ることができるといった側面もありますので、公平に運用されているのであれば、非常に強力な仕組みになります。

少し懸念点はあるものの、Google Playプラットフォームが導入されたAndroidについては、Google Playプロテクトなどのユーザーを保護する仕組みが導入されています。

しかしながら、それもGoogleが対応しなければ効果を発揮できないので、これだけでウイルスやマルウェアなどの感染を100%防ぐことはできません。そのため、ユーザーである私たちもウイルスなどに感染しないために普段から気を引き締めていかなければなりません。

例えば、今回の事例からは外れますが、不用意に信頼されていないAPKファイルをダウンロードしてインストールしないとか、Google Playストアでインストールしようとしているアプリに必要以上の権限が付いていないか確認するだとか、Android向けのセキュリティー対策アプリを導入しておくなど、できる限りの対策を取るようにしていきたいですね。

sword-2140940_640


記事執筆:YUKITO KATO


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
Tech Firms Team Up to Take Down ‘WireX’ Android DDoS Botnet — Krebs on Security
Flashpoint - The WireX Botnet: How Industry Collaboration Disrupted a DDoS Attack
The WireX Botnet: An example of cross-organizational cooperation - The Akamai Blog
The WireX Botnet: How Industry Collaboration Disrupted a DDoS Attack
The WireX Botnet: How Industry Collaboration Disrupted a DDoS Attack