Kill Switch

フランス警察とユーロポールは、感染したデバイスからPlugXマルウェアを自動的に除去する「駆除ソリューション」をフランス国内で展開している。

この作戦は、国家憲兵隊のデジタル犯罪対策センター(C3N)が、フランスのサイバーセキュリティ企業Sekoiaの協力を得て実施しているもので、Sekoiaは昨年4月、広く配布されているPlugX亜種のコマンド・コントロール・サーバーをシンクホールしています。

PlugXはリモート・アクセス型のトロイの木馬で、複数の中国の脅威行為者によって長期にわたって配備されてきました。新しい亜種は、悪意のあるキャンペーンの作戦上の必要性に応じて修正され、リリースされます。

サイバーセキュリティ企業Sekoiaは以前、USBメモリを通じて拡散するPlugX亜種のボットネットについて報告しました。このボットネットは当初の運営者によって放棄されましたが、その後も独自に拡散を続け、約250万台のデバイスを感染させました。

Sekoiaは放棄されたコマンド・コントロール・サーバーの制御を行いましたが、このサーバーは感染したホストから毎日最大100,000件のpingを受信し、6ヶ月間で170カ国から2,500,000件のユニークな接続がありました。

セキュリティ会社はPlugXボットネットをsinkholし、感染デバイスへのコマンド発行に使用できないようにしました。しかし、マルウェアは人々のシステム上でアクティブなままであったため、悪意のあるアクターがボットネットを制御し、感染を復活させる危険性が高まりました。

Sekoia氏は、感染デバイスにプッシュされたPlugXプラグインを使用して自己削除コマンドを発行し、感染を除去するクリーンアップ・メカニズムを提案しました。

研究者らはまた、接続されたUSBメモリーをスキャンしてマルウェアを除去する方法も提案した。しかし、USBメモリを自動的にクリーニングすると、メディアが損傷したり、正規のファイルにアクセスできなくなったりする可能性があり、この方法は危険です。

このアプローチは侵入的であり、法的な問題につながる可能性があるため、研究者たちは法執行機関と解決策を共有した。

「私たちが所有していないワークステーションに任意のコマンドを送信するような駆除キャンペーンを広範に実施することから生じる可能性のある法的問題を考慮し、各国のワークステーションを駆除するかどうかの決定は、各国のコンピュータ緊急対応チーム(CERT)、法執行機関(LEA)、およびサイバーセキュリティ当局の判断に委ねることにしました」と、セコイアは4月の報告書で説明している。

フランスのデバイスのクリーニング

C3Nによると、欧州警察機構(Europol)はSekoiaから駆除ソリューションを受領し、これをパートナー諸国と共有することで、自国のデバイスからマルウェアを駆除している。

Sekoia社は、このソリューションの詳細については共有できないと述べているが、彼らが報告書で説明したPlugXモジュールと同様のソリューションである可能性が高い。

2024年のパリ・オリンピックを目前に控え、すべてのサイバーセキュリティ関係者を含むフランス当局は厳戒態勢を敷いているため、フランス国内の3,000台のシステムでPlugXが発見されたリスクは容認できないと考えられている。

したがって、PlugXのペイロードは現在、フランスだけでなく、マルタ、ポルトガル、クロアチア、スロバキア、オーストリアでも感染したシステムから削除されています。

駆除作業は2024年7月18日に開始され、数カ月間継続し、おそらく2024年後半に終了する見込みです。

PlugX removal announcement
PlugX除去の発表
出典パルケ・ド・パリ|LinkedIn

国家情報システム安全保障局(ANSSI)は、フランス国内の被害者に対し、駆除作業とその影響について個別に通知する予定です。

なお、このPlugXの亜種は感染したUSBメモリ経由で拡散するため、セコイアのソリューションにリムーバブルメディアからマルウェアを除去する機能が含まれているかどうかは不明です。

印刷店など、毎日多くの物理的な接続が行われる場所でUSBメモリをシステムに接続する際には注意し、機密データを保持するシステムに接続する前にデバイスをスキャンすることが推奨される。

欧州警察機構(Europol)およびフランス当局に、駆除ソリューションについて問い合わせたが、まだ回答は得られていない。