マルウェア「Fireball」の感染数2億5000万台は「誇張」--マイクロソフトが反論

　研究者らは、マルウェア「Fireball」が山火事のような勢いで拡散していると警告しているが、Microsoftはそうした警告について、人を欺く甚だしい誇張だと主張している。

　セキュリティ企業のCheck Pointは先ごろ、中国発の攻撃により全世界で2億5000万台以上のコンピュータがFireballに感染したとの情報を公開した。Fireballはコンピュータのブラウザを乗っ取るマルウェアで、海賊版のゲームや映画など、いかがわしいソースからのダウンロードに紛れ込む形で感染するソフトウェアバンドリングを通じて拡散した。

アドウェア「Fireball」、世界で2億5000万台のPCに拡散

　感染率で見ると、Fireballはランサムウェア「WannaCry」を大きく上回っている。WannaCryは、拡散がピークに達した5月の時点で約20万台のデバイスに感染していた。

　Fireballは、ブラウザを乗っ取ってさらに多くのマルウェアをダウンロードできるが、攻撃側は当初、感染者のトラフィックを特定のウェブサイトにリダイレクトして広告収入を荒稼ぎするためにFireballを利用していた。Check Pointによると、この攻撃は北京を拠点とするマーケティング代理店Rafotechが仕掛けたもので、ブラウザのデフォルトの検索エンジンとホームページを偽のページに変更するという。

　Microsoftが掲載したスクリーンショットでは、偽ページの1つとして、Googleの画面を模した「Trotux」という検索エンジンが表示されている。これ以外にも、偽の検索エンジンとして、HohoSearch、WalaSearch、StartPageing123などがある。

　Check PointはFireballを大規模なマルウェア攻撃と表現しているが、Microsoftはこれに異を唱えている。

　Microsoftは米国時間6月22日、2015年からFireballを追跡してきたという調査結果を公開した。これによると、最も広く感染している亜種「SupTab」でも、感染数は500万台未満だ。

　「Windows Defender」担当リサーチチームのHamish O'Dea氏は、「確かに脅威は実在するが、報告された規模の感染数は誇張されているかもしれない」と述べた。

　Microsoftは、Check Pointが実際にFireballに感染したデバイスの台数を調査するのではなく、偽のページへの訪問件数を追跡して「2億5000万台が感染した」と結論づけたと主張している。これらの偽造された検索エンジンを訪れるすべてのデバイスが、実際に感染しているわけではない可能性もあるとMicrosoftは述べている。

　Windows Defenderチームは、5億台を超えるデバイスのデータを収集した。

　MicrosoftはCheck Pointに対し、データをさらに詳しく調べるよう求めており、Check Pointは協力すると述べている。

　Check Pointで脅威関連情報を扱うグループのマネージャーを務めるMaya Horowitz氏はコメントを寄せ、その中で次のように述べている。「当社では感染数の見直しを試みた。最近のデータから、その数が少なくとも4000万台には達していると確信しているが、それよりはるかに多い可能性もある」