米国政府は木曜日、コンピューターや携帯電話をスパイするために設計されたマルウェアの販売に使用されていたウェブサイトを押収したと発表した。
このマルウェアはNetWireと呼ばれ、長年にわたり、複数のサイバーセキュリティ企業と少なくとも1つの政府機関が、ハッカーによるこのマルウェアの使用方法を詳細に報告してきました。NetWireはハッキングフォーラムでも宣伝されていたと報じられていますが、マルウェアの所有者は、正規のリモート管理ツールであるかのように見せかけたウェブサイトで販売していました。
「NetWireは、企業がコンピュータインフラの保守に関連する様々なタスクを完了できるよう特別に設計されています。これは、すべてのリモートコンピュータのリストを保持し、それらのステータスとインベントリを監視し、メンテナンスのために任意のコンピュータに接続できる単一の『コマンドセンター』です」と、サイトのアーカイブ版には記載されています。
カリフォルニア州中部地区連邦検事局は、worldwiredlabs.comでホストされていたウェブサイトの押収を発表するプレスリリースの中で、FBIが2020年に同サイトの捜査を開始したと述べた。連邦捜査局は、同サイトが国際的なマネーロンダリング、詐欺、コンピュータ犯罪に利用されていたと主張している。
米国連邦検事局の広報担当者は、ウェブサイトを差し押さえるために使われた令状のコピーをTechCrunchに提供した。そこには、FBIがNetWireが実際にはリモートアクセス型トロイの木馬(RAT)マルウェアであり、リモートコンピュータを管理する正規のアプリではないと判断した経緯が詳しく記されている。
令状には、名前が明かされていないFBIタスクフォースの職員が書いた宣誓供述書が含まれており、FBI捜査チームのメンバーまたはエージェントがNetWireのライセンスを購入し、マルウェアをダウンロードしてFBI-LAのコンピューター科学者に渡し、科学者が2020年10月5日と2021年1月12日にそれを分析したことが説明されている。
マルウェアの機能をテストするため、コンピュータ科学者はテスト用コンピュータ上でNetWireのビルダーツールを使用し、「NetWire RATのカスタマイズされたインスタンス」を構築しました。このインスタンスは、エージェントが制御するWindows仮想マシンにインストールされました。このプロセスにおいて、NetWireのウェブサイトは「FBIがテスト中に攻撃したテスト対象マシンの所有権、運用権、または財産権を有していることをFBIに確認するよう要求したことは一度もありません(攻撃が正当な目的または認可された目的であれば、当然のことですが)。」
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
言い換えれば、この実験に基づいて、FBI は、NetWire の所有者は、顧客が自社が所有または管理するコンピューターで正当な目的で NetWire を使用しているかどうかを一度も確認していなかったと結論付けました。
FBIのコンピューター科学者は、セットアップした仮想マシンを使用して、リモートからのファイルへのアクセス、Windowsのメモ帳などのアプリの表示と強制終了、保存されたパスワードの抽出、キーストロークの記録、プロンプトまたはシェル経由のコマンドの実行、スクリーンショットの撮影など、NetWireのすべての機能をテストしました。
「FBI-LAの[コンピューター科学者]は、上記のすべての機能テストにおいて、感染したコンピュータはこれらのアクションが実行されていることを示す通知や警告を一切表示しなかったことを強調しました。これは、ユーザーに代わって特定のアクションを実行するためにユーザーの同意が必要となる正規のリモートアクセスツールとは対照的です」と、タスクフォースの担当者は宣誓供述書に記しています。
同職員はまた、FBIが2021年8月に米国在住のNetWire被害者から受け取った苦情にも言及したが、被害者の身元や事件の詳細はほとんど明らかにされておらず、被害者がサードパーティのサイバーセキュリティ会社を雇い、その会社がNetWireをインストールする悪意のあるメールを受け取ったと結論付けたと述べられていた。
カリフォルニア州中部地区連邦検事局の広報担当者、キアラン・マケボイ氏は、TechCrunchに対し、令状と添付の宣誓供述書以外にこの事件に関する公開文書は知らないと語った。そのため、NetWireの販売に使用されたウェブサイトを閉鎖する作戦に関する情報は、その所有者の身元も含めて、現時点では限られている。
司法省はプレスリリースで、クロアチア当局がこのウェブサイトを運営していたとされる地元住民を逮捕したと伝えたが、容疑者の名前は明らかにしなかった。
この発表を受けて、サイバーセキュリティジャーナリストのブライアン・クレブス氏は、公開されているDNSレコード、WHOISウェブサイト登録データ、公開データベース漏洩で露出されたデータをインデックスするサービスによって提供された情報、さらにはGoogle+プロフィールを使用して、worldwiredlabs.comウェブサイトをマリオ・ザンコという人物に結び付ける記事を執筆した。
NetWire、またはこのマルウェアに関連するハッキング事件について、さらに詳しい情報をお持ちですか?ぜひお聞かせください。仕事用デバイス以外から、Lorenzo Franceschi-Bicchieraiまで、Signal(+1 917 257 1382)、Wickr、Telegram、Wire(@lorenzofb)、または[email protected]までメールで安全にご連絡いただけます。SecureDrop経由でTechCrunchにご連絡いただくことも可能です。
Lorenzo Franceschi-Bicchierai 氏は TechCrunch のシニアライターであり、ハッキング、サイバーセキュリティ、監視、プライバシーなどをカバーしています。
ロレンゾからの連絡を確認したり連絡を受けたりする場合は、[email protected]にメールを送信するか、Signal の +1 917 257 1382 に暗号化されたメッセージを送信するか、Keybase/Telegram の @lorenzofb にメッセージを送信してください。
バイオを見る
