海外における個人情報流出事件とその対応　第171回ストームの倍のボットネット発見　(1)明確な分類ができない悪意あるコード

2007年１月に、欧州が暴風雨に襲われた際、大きな被害を出したことを悪用し、添付ファイルやリンク付きメールを送られた受信者が、そのファイルやリンク先にアクセスしようとすると、悪意あるコードが実行されたストームワーム。そしてこのストームワームが作ったボットネット。2007年から今年にかけて、規模の大きさに加え、人気のYouTubeのビデオを使ったり、レンタルとして提供したりと、新しい活動を続けて何かと話題になってきた。

4月になって、このストームワームによるボットネットの２倍という、大型ボットネットが現れたという情報が出てきた。最初に報告したのはアトランタに本社を置くDamballaという企業で、ボットをはじめとするオンライン犯罪からビジネスを守るテクノロジーを提供している。

Damballaは、毎日40万台を超えるマシンを感染させているクラーケンというボットネットを確認したと、4月7日付けで発表している。ストームの2倍というのは、40万台のクラーケンに対して、ストームは20万台のためだ。さらに、ウィルス対策ソフトをインストールしているPCの8割以上が、発表時点で探知できずにいるということだ。

すなわち、クラーケンはこれまで企業ネットワークで見たことがないほど大きい規模のボットネットで、前例がないほどの驚異となっていると警告する。プレスリリースで、Damballaのポール・ロイヤル主席研究員は、「Fortune 500社のうち、最低でも50社が被害を受けていて、これまでの傾向から考えると、被害はさらに拡大すると考えられる」と語っている。

それだけではなく、クラーケンがこの調子で拡大を続けていくと、4月中旬には1日あたりの新しい被害マシンの数は60万件に達し、中でも企業ネットワークの被害が増大するとの予測だ。Damballaの観測によると、ボット化した個々のマシンは1日に50万件のスパムメールを送信している。

Damballaがクラーケンに初めて気付いたのは昨年末のことだ。調査により、コマンド＆コントロールサーバはフランス、ロシア、米国でホスティングされていたのを確認している。

クラーケンによるボットネットの拡大については、ストームワームのほか、多数のターゲットを定めた攻撃が用いるのと同様の、ソーシャルエンジニアリングに基づいた方法を使っていると考えられている。また、クラーケンは、イメージファイルの形式で、ユーザがそのイメージを見ようとすると感染する上、自動的に自分自身を更新している。さらにデータ盗難もしくは攻撃向けに使用されるというように、柔軟性も持つ。

活動内容は4月7日時点で、主に迷惑メールの送付だ。メールの内容は高利の貸付、ギャンブル、男性の悩み解決のためのサプリメントなどの販売、薬の広告、偽の時計販売などとなっている。

●認識が異なる、その実態
クラーケンは、ストームより規模が大きいということで、セキュリティ業界でも大きな話題となっている。しかし、その実態の確認には…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec