最も活発なスパム発信源の一つであるRustockボットネットが今週、活動を休止しました。マイクロソフトはセキュリティベンダーや民事裁判所と協力し、Rustockの活動を停止させました。しかし、一部のセキュリティ専門家は、Rustockの活動停止がスパムの量に大きな影響を与えるのか、それともRustockの活動は本当に終わったのか、それとも単にしばらく活動を停止しているだけなのか、疑問を呈しています。
Rustockは、最近活動を停止したボットネットと同じものです。どうやら2011年のホリデーシーズンに向けて活動休止しているようです。Microsoft on the Issuesブログの記事では、マイクロソフトが昨年Waledacボットネットを撲滅した際に得た教訓を活かし、より大規模で複雑なRustockボットネットを撲滅するために、法的および技術的な手段を組み合わせ、どのように対処したかが説明されています。
Microsoftの投稿では、「RustockのインフラはWaledacのインフラよりもはるかに複雑で、ドメイン名ではなくハードコードされたインターネットプロトコルアドレスと、ピアツーピアのコマンド&コントロールサーバーを利用してボットネットを制御していました。ボットが新しいインフラにすぐに移行されないよう、私たちは米国連邦保安官局と協力し、現場で物理的に証拠を捕捉し、場合によっては影響を受けたサーバーをホスティングプロバイダーから引き取って分析することを許可する裁判所命令を求め、取得しました」と説明されています。
押収されたサーバーは、Microsoft とそのパートナーが Rustock をオフラインにするのに役立ち、また、セキュリティ専門家がボットネット インフラストラクチャの複雑な内部の仕組みについてさらに詳しく知るために分析するための貴重な法医学的証拠も提供します。
シマンテックは、Rustock ボットネットからのトラフィックが 3 月 16 日水曜日の東部標準時午前 11 時 30 分に停止したことを確認しました。ただし、シマンテックは、Rustock の不在によってスパムの吐き出し量に大きな影響が出るとは確信していません。
シマンテックの広報担当者は、Rustockが2010年のスパムのほぼ半分を占めるなど、スパムの主な発信源となっているものの、Rustockの削除がどの程度の効果をもたらすかを判断するのは時期尚早だとコメントしました。「ここ数ヶ月で、他のボットネットの送信量がRustockに匹敵する、あるいはそれ以上に増加しています。そのため、この主要ボットネットの削除は、スパムの総量に目立った影響はなく、メールトラフィックのパターンは正常のように見えます。」
AppRiverのトロイ・ギル氏は、Rustockの件がこれで終わりだとは思っていない。ギル氏は、Rustockのコマンド&コントロールサーバーが障害を受けた際にAppRiverがスパムレベルの低下を確認したと指摘する一方で、「興味深いことに、ここ数時間で全体的なスパムレベルが以前のレベルに戻りつつあるのを確認しています。断言するには時期尚早ですが、今回の障害は一時的なもので、2010年11月にRustockが10日間にわたって発生した障害と類似しているようです」と付け加えた。
それが永続的なものであろうと、あるいは Rustock が回復力を持っているであろうと、このボットネットやその他のボットネットと戦うために法律および技術パートナーのチームと連携しながら Microsoft が継続的に行っている努力は歓迎すべきことであり、称賛に値します。
