今週 24 時間以上、ごく少数のセキュリティ専門家しか答えられない疑問がありました。それは、「世界最悪のスパム ボットネットをオフラインにしたのは誰か?」というものです。
Rustock ボットネットは、100 万台近くのコンピューターに感染し、1 日あたり 300 億件もの迷惑メールをスパム送信した後、水曜の東部標準時午前 11 時頃に活動を停止した。
その理由は今や明らかだ。マイクロソフトの弁護士、米国連邦保安官、そして国際法執行官の支援を受けた少数のコンピュータ研究者グループが、ボットネットに対し、徹底的な攻撃を仕掛けたのだ。彼らはまるで神話上のヒドラに見立てたかのように、Rustockの頭部(コマンド&コントロールサーバー)を切り落とし、再び生えてこないように焼き尽くした。そして今、マイクロソフトはRustockの所有者がボットネットの支配権を取り戻す前に、感染したコンピューターの駆除を支援している。
マイクロソフトの弁護士は押収令状を手にし、連邦保安官の支援も受け、水曜日にカンザスシティ、スクラントン、デンバー、ダラス、シカゴなど米国の都市にある5つのホスティングプロバイダーを急襲し、「ボットネットを制御していたIPアドレスを切断し、通信を遮断して無効にすることに成功した」とマイクロソフトはブログ投稿で述べた。
Rustockは、非常に危険なソフトウェアです。感染したマシンを犯罪者に制御させ、スパムを送信したり、他のコンピュータを攻撃したり、被害者をスパイしたりすることができます。Rustockは、被害者を悪意のあるウェブサイトに誘導したり、特別にコード化されたメールの添付ファイルを開かせたりすることでインストールされます。そして、このマルウェアの検出と削除は非常に困難です。
このボットネットは医薬品関連のスパムを送信していることで悪名高く、昨年末に他の2つの主要なスパムボットネットであるPushdoとBredolabがオフラインになって以来、減少していた世界のスパム量に、このボットネットの消滅がさらに打撃を与えるはずだ。
Rustockの削除(現在進行中の複数の削除計画の最初のもの)により、インターネットコミュニティは、悪意のあるコンピュータで構成された複雑なグローバルネットワークを排除する技術を磨き上げたと、BINDドメインネームシステム(DNS)ソフトウェアの開発元であるインターネットソフトウェアコンソーシアムのバリー・グリーン会長は述べた。すべては数ヶ月前、大規模なインターネット研究者グループがRustockを発見し、破壊技術を開発したことに始まった。その後、はるかに小規模で信頼できるグループが任命され、法執行機関と協力して削除作業を管理する任務を与えられた。
このケースでは、マイクロソフトが主導し、セキュリティベンダーのFireEye、ワシントン大学、製薬会社のファイザー、そしてオランダ警察の協力を得て活動しました。マイクロソフトは刑事司法制度を利用する代わりに、Rustockの匿名運営者に対して民事訴訟を起こし、ボットネットの制御に使用されていたサーバーの差し押さえを認める裁判所命令を獲得しました。また、オランダ警察は米国外のサーバーの停止を支援しました。
マイクロソフトは1年前、民事裁判所や研究者と協力し、別のボットネットであるWaledacを破壊したが、Rustockははるかに複雑で、多数のサーバーの差し押さえだけでなく、DNSレベルでの巧妙な作業も必要だった。
感染した Rustock マシンには、通常のコマンド アンド コントロール サーバーがオフラインになった場合に特定のインターネット ドメインのコントローラーに接続するというプラン B があるため、Microsoft は Rustock のオペレーターが新しいドメインを設定するのを防ぐために中国当局と協力する必要もありました。
Rustockは、通常のコマンド&コントロールサーバーがオフラインのときに、新たな指示を得るために接続を試みるウェブサイトの名前を生成するために、巧妙なアルゴリズムを用いています。感染したコンピューターは、事前に設定された日刊ニュースサイト(例えばSlashdot)にアクセスし、そのページで見つけた内容に基づいて特別な「シード」番号を生成します。このシード番号は暗号化され、Rustockが接続を試みるドメイン名が攻撃者に渡されます。これにより、ドメイン名を事前に推測することは不可能になります。Microsoftは当面の間、これらの新しいドメインの登録をブロックしているようですが、少しでもミスがあれば、Rustockの開発者が再び主導権を握ることになるでしょう。
デルのセキュアワークス部門の研究員、ジョー・スチュワート氏は、Rustockは「抑制されているだけで、実際には削除されていない」と述べた。「これらのドメインの監視が停止されれば、数時間以内に復旧する可能性がある」
これは本当に懸念すべき事態だ。なぜなら、Rustockの作者(オンラインハンドルネーム「PE386」でしか知られていないハッカー)は依然として逃走中だからだ。つまり、彼とその仲間はおそらく戻ってくるだろう、とルール大学ボーフム校の助教授、トルステン・ホルツ氏は述べた。「攻撃者が自由に動き回っている限り、これは一種のモグラ叩きに過ぎない」と彼は言った。「今回の件で、何人かの逮捕者が出ればと願っている」
研究者たちはボットネットの調査に何ヶ月も費やしてきた。仕組みは分かっているつもりかもしれないが、本格的な閉鎖は未知の領域への冒険だ。「回復の道はどこにあるんだ、と皆が言っている」とグリーン氏は言う。「彼らは再び制御を取り戻そうとするのだろうか?まるで原子を粉砕するみたいだ。原子を粉砕するという、非常に原始的な行為をする。そして、その後の影響を観察するのだ。」
ロバート・マクミランは、IDGニュースサービスでコンピュータセキュリティとテクノロジー全般の最新ニュースを担当しています。Twitterで@bobmcmillanをフォローしてください。メールアドレスは[email protected]です。
