「フランス警察がボットネットを乗っ取り、85万台のPCからマルウェアを削除」という記事がでています。
もともとのZDNETの記事は、こちらになります。
問題となるマルウエアが、Retadupというものであること、それが仮装通貨の採掘に関するものとかは、記事を参照ください。
でもって、この法的な問題を考えたいなあと思います。
ZDNETの記事によるとAvastの研究者は、C&Cサーバのデザイン上の欠陥をみつけ、マルウエアを自分を消去するように仕向けることができることを発見したそうです。そして、そのサーバがフランスにあったので、フランス当局と交渉し、そのサーバを押収したそうです。その上で、その悪意あるサーバをマルウエアを消去するように設定したサーバと入れ換えたということです。
これを行うあたって、法的にどのような手法がとられたのか、というのが気になります。Avastの報告書によると、「Retadupに関する脅威インテリジェンスをフランス憲兵隊のCybercrime Fighting Center(C3N)と共有し、Retadupの犠牲者を駆除する手法を提案しました。 推奨事項に従って、C3Nは悪意のあるコマンド&コントロール(C&C)サーバーを解体し、駆除サーバーに置き換えました。 駆除サーバーは、ボットの着信要求に特定の応答で応答し、接続されたマルウェアが自己破壊しました。 この記事の公開時点で、このコラボレーションはRetadupの850,000を超える固有の感染を中和しました。」という表現があります。そして、「2019年7月、憲兵隊は検察官から青信号を受け取り、サーバの解毒を法的に進めることができました。」とされています。
ドイツにおいて、地域警察が、捜索命令や没収命令を取得できること、警察がテイクダウンをすることができること、については、私のブロクで触れています。
フランスで、このような没収命令を取得したか、どうか、という問題があります。
この作戦の詳細についてのインタビューは、これですね。
FBIとも協力しており、米国のサイトへの通信をブロックするために、判決を取得したということも記載されています。
ですが、この判決は、今のところ見つかっていないので、どのような法的な根拠をもとにこの作戦が実行できたかは、わかりませんでした。予算か、時間があれば、フランスの関係者にLinkedInあたりで聞いてみましょう。
うーん、残念。
後、テイクダウンか、テイクオーバーか、という表現の問題があります。法執行機関等によって没収されて、使えなくなった段階で、テイクダウン、その一方で、代替のサーバに入れ換えたのでテイクオーバーという用語かと思います。記事だと、中立化、解体(dismantle)という表現も見受けましたね。