追跡者が語るボットネット解体までの道のり（2/2 ページ）

[Matt Hines，eWEEK]

　もう1つは、Q8 Armyと名乗るグループが運営していた別のゾンビネットのケースで、マルウェアルートキット配布の手段として、IMを介したアドウェアプログラムを用いていた。このマルウェアは、詐欺目的でクレジットカード情報を盗むものだ。このプログラムはまた、「世界征服」のための暴力的な手段を支持する、アラビアの過激派のWebサイトへのURLを示すポップアップ画面も表示した。

　研究者らは、これらURLのうちいくつかに残された記録と、関係する詐欺師の取引記録を基に、このグループの出自を追跡したところ、中東のどこかということがわかった。盗まれた資金のいくらかは、モバイルコミュニケーション機器や中古PCの購入に使われたことも判明した。

　研究者らはさらに、専用のハッキングツールやトロイの木馬、ウイルス、その他マルウェアアプリケーションを生成するプログラムを提供していたQ8Armyのホームページを発見し、米国に置かれていたサーバをネットワークから切り離すことができた。しかしボイド氏によると、ドイツや中東の別のシステムを用いて、彼らはまだ活動中だという。

　両氏は、今後さらに多くのゾンビコンピュータネットワークを停止させたいのであれば、セキュリティの専門家と警察当局、それに政府などのより幅広い連携が求められると語った。ただし一方で、より詳細な情報を得て、犯罪者特定のための強力な成果を得るためには、単にハイジャックされたコンピュータに攻撃し返すよりも、漸進的なアプローチをとるほうがいいだろうとボイド氏は述べた。

　「すさまじい数のボットネットが存在している。そのため、これらをシャットダウンさせるのはモグラ叩きのアプローチになってしまっている。ボットネットの運用に関わっている当事者を追いかけ、水面下で訴訟を起こすことにより、相手により多くのダメージを与えることができるだろう」

　FaceTimeのポーター氏は、犯罪者グループが、ゾンビネットワークに資金を提供し、多くのリソースを提供している点に注意を促した。ロシアなどの国の仕事を持たないプログラマーが誘い込まれ、さらなる犯罪を継続するための新たなマルウェアやエクスプロイトが作成されているという。

　ボットネットの大半は、できばえがそれほどよくないためほんの数日しか稼動せず、比較的小さなダメージしか及ぼさない。だが、最も高い技術力を持つ運用者は、追っ手の一歩先を行くために新しい方法を探り続けているという。

　「こうしたグループには多額の研究投資予算がある。そしてわれわれ自身、何十億ドルもの金額がこれらのネットワーク上を移動していくのを目の当たりにしてきた。もっと恐ろしいのは、こうしたボットネットオペレーターが文脈的マーケティングの技術を身に付けつつあり、より攻撃の実行に成功する可能性があることだ」（ポーター氏）

原文へのリンク