ITmedia エンタープライズ

　セキュリティ専門家の調べによると、ロシア在住のスパム業者が、ステルス型の高度な新しいトロイの木馬プログラムを使い、家庭用ワークステーションを無意識のうちにポルノグラフィとスパム配布の輪に加担させようとしている。

　セキュリティ管理サービス会社であるLURHQの上級侵入アナリストであるジョー・スチュワート氏によれば、この偽装・犯罪性行為が専門家の目に留まったのは6月末のことで、最近になってBBS上でスパム対策担当者たちの話題に上っていたという。

　偽装したPayPalのWebサイトとロシアのポルノグラフィサイトへのリンクが張られたスパム業者を観察したところ、このサイトは数分毎に自分のサイトのWebアドレスを変更できたようだと、インターネットセキュリティとプライバシーのコンサルタントであるリチャード・スミス氏は指摘する。

　スミス氏は7月初め、PayPalを偽装したポルノサイトにリンクされた電子メールメッセージを調査中に、この問題に遭遇した。PayPalはオンライン支払いの顧客情報を取り扱うサイトである。

　スミス氏は、このポルノサイトのアドレスをそのサイトをホストしているISPに連絡した後で、同じWebのドメインが数分後には別のISPの異なるインターネットアドレスに置き変わっていることに気づいた。さらに2、3分後には別のアドレスに移っていたのだ。

　「うへえ、こいつは面白い、と思った」とスミス氏は語る。

　PayPalの偽ドメインを使ったポルノグラフィサイトを追跡するプログラムを書いた後で、スミス氏は違法なコンテンツとして使われた数百のコンピュータのIPアドレスを集めたが、いずれも数分間しか使われていなかった。

　このトリックは、リモートシステムに置かれ、スパマーが使用している高度なトロイの木馬プログラムによるものだとスチュワート氏は指摘する。同氏はLURHQの企業顧客のある従業員のシステムがこのプログラムに感染しており、そこからプログラムを入手した。

　スチュワート氏はこのプログラムを“Migmaf”と名付けている。Migmafは、偽装されたポルノグラフィックコンテンツを掲載しているWebサイトのマスターに対するスパムのプロキシサーバとリバースプロキシサーバとして動作する。

　このポルノサイトのドメインネームと電子メールアドレスはロシアが発信源となっているとスミス氏は指摘する。

　プロキシサーバの機能では、ソースから受け取り手に向けてスパムをフォワードし、ソースのアドレスを自分のIPアドレスに置き換え、スパマーの痕跡を消す。

　リバースプロキシサーバ機能としては、スパムの受け取り手がポルノサイトへのリンクをクリックするなどした情報を受信すると、その情報をマスターとなっているWebサーバに送信する。サーバは要求されたWebページをクラックされたコンピュータに送り、サーバとして利用する、とスチュワート氏は説明する。

　ユーザーはコンテンツがどこから送られてきているのかを知ることはできず、WebサイトのオーナーはISPからサイトを閉鎖するよう要求されることもないと、スミス、スチュワートの両氏は述べる。

　スパムの犠牲となっているコンピュータの管理者は、こうした不正使用にいずれは気づくはずだが、それぞれのマシンが不正サイトのDNSホストとして使われるのはわずか10分間で、次はスパマーの標的となった別のコンピュータに置き換えられる、とスミス氏は説明する。

　Webのリソースを継続的に移動させるため、スパマーはDNSソフトウェアをクラックされたマシンにインストールし、このコンピュータを専用DNSサーバに仕立て上げる。次にDNSの機能を使い、スパマーはIPアドレスとドメイン名の関係を記述する“host name mappings”の有効期限を設定する“time to live”を短い時間で更新するように変更する。

　Network Solutionsなどのオンラインドメイン登録サービスと自動化されたスクリプトを使い、スパマーはホストマッピング情報を一定時間でアップデートし、DNSアドレスを次々にクラックされたマシンに切り替えていくのだとスミス氏は解説する。

　これは、IPアドレスのブラックリストに掲載されるのを避けたいスパマーにとって魅力的なテクニックだと、スパム対策会社であるQurbのスパム専門家であるリーナス・アップソン氏は解説する。

　「スパマーは、スパムをきちんと人々のメールボックスに届けることに気をつかう。この方法は、広く使われているスパム対策法の多くを無効化してしまう」とアップソン氏。

　また、詐欺に関係しているスパマーは、スパムのソースを隠すことで、逮捕をまぬかれることができる、と同氏。

　スチュワート氏もスミス氏も、このトロイの木馬ソフトがどのようにして感染システムにインストールされたかは分からないという。

　W32.SobigウイルスやActive X コントロールを悪用したサイトなどが、脆弱性を持ったマシンにこのプログラムを植え付けた可能性はあるとスミス氏は指摘する。また、このプログラムはIRCネットワークやKazaaなどのP2Pネットワークを通して配布された可能性もあるとスチュワート氏は話す。

　このトロイの木馬プログラム“Migmaf”はウイルスのように自分自身で増殖することはないが、感染したシステムの統計情報をマスターとなっているWebサーバに送付する多くの機能を持っているとスチュワート氏は分析し、LURHQのWebサイトに掲載している。このトロイの木馬プログラムはシステムの現在の統計と情報をマスターサーバに送り、利用可能な帯域幅までをモニターする、と同氏。

　トロイの木馬プログラムを解析した結果、スチュワート氏はマスターとなっているWebサーバがヒューストンのWebホスティング会社、Everyones Internetが所有するマシンにあることを突き止めた。

　Everyones Internetはこの件に関してコメントしなかったが、スチュワート氏によれば、マスターとなったWebサーバは既に停止されており、スミス氏はPayPal/ポルノサイトはダウンしているのを確認しているという。それでも不正コンテンツとスパムを配布する、この新システムの追跡は非常に困難だとスミス氏は認める。

　「ジョー・スチュワート氏がこのサーバを発見するのに7日間かかった。通常は数分間で済むのだが」とスミス氏。

　KazaaなどのP2Pネットワークのように、この新しいスパムネットワークは分散型であり、漏れがない。このため、除去するのは困難だとスミス氏は語る。

　このトロイの木馬プログラムは大手ウイルス対策会社に送られ、除去用定義ファイルが開発中である、とスチュワート氏。しかし、おそらく複数のMigrafプログラムが存在するであろうし、その多くには、新しく開発された定義ファイルでも検知できないと同氏は推測する。

　防御されていない家庭用コンピュータのユーザーはすべて、中でも常時接続のブロードバンド接続状態にあるユーザーは特に、パーソナルファイアウォールを設置すべきだとスミス、スチュワート両氏はアドバイスしている。

　ファイアウォールソフトウェアはMigrafがインストールされるのを防止できなくても、感染したコンピュータがスパマーのマスターサーバに対して情報を送り、スパムやポルノサイトの配給元になるのは防いでくれるという。