セキュリティ企業FireEyeの研究員として2年間、アティフ・ムスタクはMega-Dボットマルウェアが顧客のネットワークに感染するのを防ぐことに尽力しました。その過程で、彼はその管理者がどのようにマルウェアを操作するのかを解明しました。昨年6月、彼はその研究結果をオンラインで公開し始めました。そして11月、突如として防御から攻撃へと方向転換しました。そして、25万台のPCを操っていた強力で強固なボットネットMega-Dは、機能停止に追い込まれました。
コントローラーをターゲットにする
ムスタク氏とFireEyeの同僚2人は、Mega-Dのコマンドインフラを攻撃しました。ボットネットの攻撃の第一波は、電子メールの添付ファイル、Webベースの攻撃、その他の拡散手段を用いて、多数のPCに悪意のあるボットプログラムを感染させます。
ボットはオンラインのコマンド&コントロール(C&C)サーバーから指令を受けますが、これらのサーバーこそがボットネットの最大の弱点です。サーバーを隔離すれば、指示のないボットは何もせずに待機することになります。しかし、Mega-Dのコントローラーは広範囲に及ぶC&Cサーバー群を利用しており、所属するすべてのボットには、主要なコマンドサーバーにアクセスできない場合に試すべき追加の接続先リストが割り当てられていました。そのため、Mega-Dを倒すには、綿密に計画された攻撃が必要でした。
シンクロナイズドアサルト
ムスタク氏のチームはまず、メガDの制御サーバーを無意識のうちにホストしていたインターネットサービスプロバイダーに連絡を取った。同氏の調査により、サーバーの大半は米国に設置されており、1つはトルコ、もう1つはイスラエルに設置されていたことが判明した。
FireEyeグループは海外ISPを除くすべてのISPから肯定的な反応を得ました。国内のC&Cサーバーはダウンしました。
次に、ムシュタク氏らは、Mega-Dが制御サーバーに使用していたドメイン名の記録を保有するドメイン名登録機関に連絡を取った。登録機関はFireEyeと協力し、Mega-Dの既存のドメイン名をどこにも接続できないようにした。ボットネットのドメイン名プールを遮断することで、アンチボットネット工作員は、海外ISPが停止を拒否したMega-D関連サーバーにボットがアクセスできないようにした。
最終的に、FireEyeとレジストラは、Mega-Dの管理者がボットのプログラミングにリストアップしていた予備のドメイン名の取得に取り組みました。管理者は、既存のドメインがダウンした場合に備えて、予備のドメインを1つ以上登録して使用することを意図していました。そこでFireEyeはそれらのドメインを拾い上げ、「シンクホール」(Mega-Dボットによる注文のチェックインを静かに記録するために設置されたサーバー)に誘導しました。FireEyeはこれらのログを用いて、ボットネットは約25万台のMega-Dに感染したコンピュータで構成されていると推定しました。
メガDの崩壊
シマンテックの電子メールセキュリティ子会社であるMessageLabsは、Mega-Dが前年から「スパムボットのトップ10に常にランクインしていた」と報告しています(find.pcworld.com/64165)。このボットネットの送信量は日によって変動しましたが、11月1日にはMessageLabsが確認したスパム全体の11.8%をMega-Dが占めていました。3日後、FireEyeの対策により、Mega-Dのインターネットスパム市場シェアは0.1%未満にまで減少したとMessageLabsは述べています。
FireEyeは、Mega-D対策を、感染したマシンのIPアドレスを追跡し、影響を受けたISPや企業に連絡するボランティア団体ShadowServer.orgに引き継ぐ予定です。企業ネットワークまたはISPの管理者は、無料の通知サービスに登録できます。
戦いの継続
ムスタク氏は、FireEyeによるMega-Dへの攻撃の成功は、マルウェアとの戦いにおける一つの戦いに過ぎないことを認識している。Mega-Dの背後にいる犯罪者は、ボットネットの復活を試みることもあれば、放棄して新たなボットネットを構築することもあると彼は言う。しかし、他のボットネットは依然として繁栄を続けている。
「FireEyeは確かに大きな勝利を収めました」と、SecureWorksのマルウェア調査ディレクター、ジョー・スチュワート氏は語る。「問題は、それが長期的な影響を与えるかどうかです。」
FireEyeと同様に、スチュワート氏のセキュリティ企業は、ボットネットなどの脅威から顧客ネットワークを保護しています。また、Mushtaq氏と同様に、スチュワート氏も長年にわたり犯罪組織と闘ってきました。2009年、スチュワート氏はボットネットの運営を収益のないものにするボランティア団体を設立するという提案を概説しました。しかし、このような時間のかかるボランティア活動に専念できるセキュリティ専門家はほとんどいませんでした。
「毎日これを続けるには、時間とリソースと資金がかかります」とスチュワート氏は言う。他にも、様々なボットネットや犯罪組織に対する目立たない攻撃は行われているが、こうした称賛に値する取り組みは「スパマーのビジネスモデルを止めることはできない」と彼は言う。
ムスタク氏、スチュワート氏、そして他のセキュリティ専門家たちは、連邦法執行機関が専任の調整体制を敷く必要があることに同意している。スチュワート氏によると、規制当局はそれを実現するため、まだ本格的な計画を策定し始めていないという。しかしムスタク氏は、ファイア・アイが国内外の法執行機関と自社の手法を共有しており、期待を寄せていると述べた。
それが実現するまでは、「我々は間違いなくこれをもう一度やろうと考えています」とムスタク氏は言う。「悪者たちに、我々は眠っていないことを見せつけたいのです。」
