ボットネット“ビジネス”のからくり、専門家が解説
ボットネットを使って数百万ドルもの利益を得るサイバー犯罪の舞台裏を、Black Hatセキュリティカンファレンスでセキュリティ研究者が説明した。
サイバー犯罪者の道を歩み始めるのは簡単なことだ。だが一体、攻撃者はどのようにしてボットネットから何百万ドルものもうけを生み出しているのだろう。
先週ラスベガスで開催されたBlack Hatセキュリティカンファレンスでは、米セキュリティ企業Damballaの研究担当副社長ガンター・オールマン氏が出席者に対し、ボットネットがいかに簡単に作成できるかや、感染したコンピュータの小規模ネットワークから攻撃者がいかにして大金を生み出しているのかについて、その舞台裏を紹介した。
「ボットネットの作成者にとって最大の関心事は、身元情報に関することだ。つまり、個人にまで直接さかのぼれるような要素があるかどうかだ」と同氏はカンファレンスの終了後に語っている。「従って、まだ駆け出しのボットネット作成者は、少なくとも、悪さを仕掛ける前にそういうことについて考えたことがあるのなら、フリーのマルウェア作成ツールを匿名で入手する方法や、クリティカルなインフラコンポーネントをフリーサービスを使ってホスティングする方法に心を砕くだろう」と同氏。
そのため、同氏によれば、ボットネット作成者にとって最も一般的なのは、ZeusやSpyEye、PoisonIyといったキットを使ってボットネットマルウェアを作成し、そのマルウェアをWebのフリーサービスでホスティングするという方法だという。
「ボットネット作成者の多くは初期のころは、被害者をだましてマルウェアをコンピュータにインストールさせるという方法を利用するが、結局は、偽のWebサイトを使ったり、Webブラウザを悪用したりといった、より高度な手法へと進化するものだ。ボットネットを構築する上で重要となるのは、ドメインネームシステム(DNS)の管理だ。そのため、ボットネット作成者はフリーのダイナミックDNSプロバイダーを好む。とりわけ、ボットネットを匿名で構築して管理できれば好都合だ」とオールマン氏。
そして、ここからがビジネスプランについての話だ。ボットネットは、スパムや偽セキュリティソフトなど、各種のサイバー犯罪にかかわっている。だが今日、捜査当局に気づかれる可能性が低いわりに大きなもうけを狙える最有力候補といえば、「個人情報ロンダリング」だという。
「個人情報ロンダリングとは、ボットネットの感染マシンから入手できる個人情報をすべて盗み取り、グレーマーケットや合法サイト、合法サービスを通して、その情報を洗浄するという仕組みだ。こうしたサイトやサービスは、その情報を買い取り、それを合法な企業に転売する。この洗浄プロセスを通じて、ボットネット運営者は0.1セントの情報を30セントに変えられる。しかも、その情報は合法な組織によって消費される。見込み客獲得のための既存のリードアフィリエイトプログラム(リードジェネレーションプログラムとも呼ばれる)を使えば、情報1件当たり最大20ドルを稼ぐことも可能だ。だが、最も重要なのは、被害者に気づかれる可能性が事実上ゼロであり、いろいろな意味で、金融詐欺が記録にとどめられることはないという点だ」とオールマン氏。
同氏によると、大半のボットネットはプロ集団によって運営されており、そうした集団はおそらく常に複数のボットネットにかかわっているとみられる。また、ボットネットの規模は大半が2000台程度であり、企業内で運営されているものになると、さらに規模は小さく、通常は数百台のボットで構成されるという。
「もっとも、KoobfaceやConficker、Bobaxといった有名な大型ボットネットとなると話は別だ。こうしたボットネットは、企業ネットワークに浸透していないとか、規模が小さいとかいうことはない。中には、数百万台という規模に達するものもあるだろう。だがそれでも、そうしたボットネットは全体のごく一部にすぎない。犯罪行為を行っているボットネット運営者の大半は、見つからないよう慎重を期している。実際、規模が大きければ、見つかるのも一番早い」とオールマン氏。
同氏によると、ボットネットの管理は普通は簡単で、ボットネット作成者が人気のある自作キットを使用していれば、なおさらだという。こうした管理コンソールには既に、盗んだ個人情報を管理したり、感染マシンへの命令を調整してバッチ処理したりといった各種の機能が搭載されている。
「こうしたツールは豊富にあり、無料ではないにしても、安価で提供されている。最も高価なものでも、フルサポート付きの最新式の自作キットを数千ドルで入手できる。年間の更新料はそれより少ない。こうしたキットは、実に複雑で巧妙な機能に加えて、何十万台ものボットネット感染マシンを管理できる能力や指揮管理インフラを備えている。その十分に試された実証済みテクニックからは、おそらく、多くの合法な商用クラウドプロバイダーも大いに学ぶことができるだろう」とさらにオールマン氏は続けている。
関連記事
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。