追跡者が語るボットネット解体までの道のり（1/2 ページ）

FaceTime Communicationsの2人の研究者が、ボットネット運営者を見つけ出し、その活動を停止させるまでの取り組みを披露した。

[Matt Hines，eWEEK]

　サンフランシスコ発――2月7日、RSA Conferenceにおいて2人のセキュリティ研究者がボットネット運営者を捕らえるまでのテクニックを披露した。犯人らは、感染したコンピュータの大群を用いて、マルウェアプログラムや暴力的な政治的プロパガンダをばら撒いていた。

　発表を行ったボットネット専門家らは、いずれもカリフォルニア州フォスターシティのアンチマルウェアソフトウェアメーカー、FaceTime Communicationsに所属している。彼らは、高機能なボットネットの運用に関与していたと思われる人物の特定と追跡の方法を詳細に述べた。これらのボットネットはすでに活動を停止したか、大幅な規模縮小に追い込まれている。

　FaceTime Security Labsのマルウェア研究担当ディレクター、クリス・ボイド氏と、同社の特別調査ディレクター、ウェイン・ポーター氏は、部屋を埋めた来場者に向けて、いかにボットネットコミュニティへ潜入し、15万台もの感染コンピュータを使ったアンダーグラウンドネットワークの運用に関与していた人々をどうやって見つけ出したかについて語った。

　彼らが発見したボットネットのうち1つは米国に構築され、詐欺などへの悪用を目的に、電子商取引システムからクレジットカードのデータを盗み取るスパイウェアなど、マルウェアをばら撒くのに利用されていた。もう1つのクライムウェアは中東の過激派によって使われており、世界征服に向けた暴力的メッセージを掲げ、衛星や無線、コンピュータ機器を購入するための資金調達に用いられていた。

　ポーター氏とボイド氏は、めったに垣間見ることのできないボットネットのハーダー（指令者）たちの世界を紹介した。

　彼らはこの世界に入り込み、詐欺師たちが「商売」のコツやマルウェアプログラムに関する情報をやり取りしているいかがわしいオンライン掲示板やチャットをうろついてみたという。さらに、彼らが何をやっているのかを示して多くの詐欺師をおとりにつかい、犯罪者の行動をスパイすることにより、相手のアイデンティティをつなぎ合わせ、感染したマシンから構成されていたネットワークの解体につなげた。

　米国に構築されたボットネットのほうは、実際には2つのゾンビネットワークから構成されていた。

　ボットネットのオペレーターらは、インスタントメッセージングシステムを通じて、疑うことを知らないエンドユーザーのコンピュータに、Famatechが開発した商用のリモートコンピュータ管理アプリケーションをひそかに配布し、隠していた。ひとたびこのソフトウェアがインストールされると、今度は不正を働く連中によって、マルウェアのロードに利用される。マルウェアの1つが、通称「Carder」と呼ばれるPerlスクリプトだ。これはセキュリティホールを悪用して、電子商取引用のカートアプリケーションからユーザー名やパスワード、クレジットカード番号、PayPalアカウント情報などを盗み出す。

　オンライン上で「Paper Ghost」という別名を持つボイド氏によると、「Rince」というスクリーンネームでしか知られていない別のマルウェア研究者からもらったヒントを基に、ゾンビネットワークの運用に関与していると見られる人物らによる詐欺の解決の糸口が見えてきたという。

　ボイド氏は、まるで漫画に出てきそうなMC-ZeroとInkという名前で知られる2人のボットネット提供者の行動の痕跡を見つけ出すために、いわゆるハニーポットを配置した。ここから彼らに関する知識を得ることができたという。さらに、自分たちの攻撃を自慢するアングラサイトへの彼らの投稿の調査を開始した。

「相手はただ鎖を引っ張っているだけではないということに注意しなくてはならないが、われわれは、これらのボットネットから可能な限り多くの情報を得るために、ソーシャルエンジニアリングのテクニックも使った。これまでとは違ったチャネルからも情報を得なくてはならない。Rinceとの共同作業によって、われわれは、彼らのIRCチャットのフィードをライブで見られるようになった」（ボイド氏）

　こうした情報を得ることにより、詐欺師たちは知らないうちに、家や車の写真なども含めた情報までも引き渡すことになった。彼らがどこに住み、どこで犯罪を働いているかを特定することにより、セキュリティ専門家とISPが協力し、犯罪者それぞれのボットネットを閉鎖に追い込むことができた。