Torおよびサードパーティのセキュリティ研究者によると、Tor匿名ネットワークを使用するクライアント数の急増は、ボットネットによって引き起こされた可能性が高いとのことだ。
8月20日頃、Torクライアントの数が急増しました。現在、Torプロジェクトリーダーのロジャー・ディングルダイン氏は木曜日のブログ投稿で「arma」というハンドルネームで、新規Torクライアントが数百万台に達し、その数は増加し続けていると述べました。この急増はボットネットによって引き起こされた可能性が高いとディングルダイン氏は述べました。ディングルダイン氏は「arma」というハンドルネームで頻繁にブログを執筆しており、Torの初期開発者の一人でもあります。
Torは、ランダムに選択された一連の暗号化されたボランティアリレーを経由してトラフィックをルーティングすることで、ユーザーのIPアドレスを隠蔽します。人々はオンラインプライバシーを保護するためにTorを利用しています。しかし、同じ機能が悪意のある人々にとって魅力的に映ることもあります。
「ユーザー数の増加は、シリア、ロシア、米国、あるいは最近活動家やジャーナリストがTorを大量に採用するに十分な理由がある他の国の活動家によるものだと推測する人もいます。また、Pirate Browser(Torのセキュリティとプライバシー機能のほとんどを省略したTor Browser Bundle版)の大量採用によるものだと推測する人もいます」とディングルダイン氏は記している。
「実際のところ、このような成長曲線では、これらの新しいTorクライアントの背後に新しい人間がいることは基本的にあり得ない」とディングルダイン氏は書いている。
クライアントはほぼ一夜にして数百万台のコンピュータにインストールされました。大手ソフトウェアベンダーやOSベンダーが、自社製品にTorをバンドルしたと名乗り出ていないことから、結論は一つに絞られます。つまり、誰かが数百万台のコンピュータに感染させ、計画の一環としてTorクライアントをインストールした、ということです、とディングルダイン氏は記しています。
Torの利用増加はボットネットによるものだという疑いは、オランダのセキュリティ企業Fox-ITも抱いている。
「これはボットネットである可能性が非常に高いことが分かりました」と、同社の取締役兼共同創設者のロナルド・プリンス氏は述べた。
「これは汎用ボットネットのようです」とプリンス氏は述べ、汎用ボットネットはログイン認証情報などのデータを収集するためによく利用され、後で利用したり、第三者に売却したりできると付け加えた。しかし、このボットネットが何をしようとしているのかは現時点では不明だとプリンス氏は述べた。
プリンス氏は、Torを使ってボットネットを制御するのは、検知が困難になるため便利だと指摘した。ボットネットのコマンド&コントロール(C&C)サーバーはTorによって隠蔽されていると指摘し、「これはボットネットの閉鎖を非常に困難にする」と述べた。
Torは便利だが、重大な欠点もあるとプリンス氏は言う。「トラフィックが非常に遅い」
理論
Fox-ITの研究者らは、このボットネットの名前は「Mevade.A」かもしれないと述べた。しかし、彼らはブログ記事の中で、この名前が「Sefnit」であることを示唆する古い情報も発見した。この情報は少なくとも2009年に遡り、Tor接続も含まれていたという。
「このマルウェアは運営者の間でSBCと呼ばれているという様々な情報源を発見しました」と研究者らは記し、ロシア語圏から発信され、金融犯罪に関連している可能性が高いと推測していると付け加えた。研究者らは、これらの情報源をどこで見つけたかは明らかにしていない。
ディングルダイン氏によると、Tor はボットネットが C&C ポイントを隠しサービスとして実行している可能性もあると考えているという。
Torネットワークは今のところまだ機能しているが、Torによると、ボットネットが問題を引き起こす可能性があるという。
ディングルダイン氏は、最大の問題はネットワークに追加されるトラフィック量ではなく、むしろ新たに作られる回線によって引き起こされる、と書いている。
「Torクライアントは事前に回線を構築します。そして、数百万のTorクライアントは数百万の回線を意味します。各回線はリレーに高負荷の公開鍵演算を実行させる必要があり、多くのリレーはCPU負荷が限界に達しています」とディングルダイン氏は記している。
これは危険なサイクルを引き起こす可能性があります。「クライアントが回線構築を試みて失敗すると、再度試みます。そのため、リレーが過負荷になり、それぞれが受信したリクエストの半分を破棄した場合、試行された回線の半分以上が失敗し(回線上のすべてのリレーが成功する必要があるため)、さらに多くの回線リクエストが発生します」とディングルダイン氏は記しています。
これらの問題に対処するため、Torはいくつかの暫定的な対策を講じて問題を緩和しました。しかし、将来的には他の選択肢を検討する必要があるとディングルダイン氏は述べています。例えば、Torは回線作成リクエストを制限したり、ボットクライアントの回線構築シグネチャを認識するように学習したりすることが考えられます。
「ボットネット研究者がボットネットの特定の特徴を特定し、それをシャットダウンする方法(または少なくともTorから排除する方法)を検討し始めれば素晴らしいだろう」とディングルダイン氏は述べた。
「そして最後に、数百万ノードのボットネットを持っている場合、それを4,000のリレーを持つTorネットワークの背後に隠そうとするのは愚かだというのが私の考えです。こうした人々は、ボットネットをピアツーピアの匿名システムとして自ら利用すべきです」とディングルダイン氏は書いている。
