海外における個人情報流出事件とその対応第188回本腰を入れた対策が期待される、ボットネットとの戦い (1)Srizbiボットネットの復活

　11月26日、しばらく活動を休止していたSrizbiボットネットが、スパム送信者によってコントロールを再び取り戻していると、IDG News Serviceのジェレミー・カークが報じている。

　Srizbiは、2007年6月に初めて確認されたトロイの木馬だ。Mpack攻撃により乗っ取られたサイトにアクセスすると、PCは感染してスパム送信などを行う。その後、急速に感染を広げ、発見から1年も経たないうちに、Srizbiによるボットネットは、スパム送信元として最大のものとなった。極めて悪名高いボットネットだ。

　26日付けのニュースは、約2週間前の11日に、Srizbiボットネットの管理を行っていたとされる、Webホスティング会社のMcColo Corpがインターネットへの接続を遮断された後、世界で大幅減少していたスパムメールの数が、徐々にではあるが再び増加していたことを受けたものだ。McColoは米カリフォルニア州サンノゼに本社を持つ企業で、サイバー犯罪者がオンライン詐欺を行うのを援助していると見られていた。

　スパムの減少はシマンテックの月間スパムレポートでも確認されている。閉鎖の24時間前と24時間後で、スパムの数は65％減少していた。しかし、マルウェアセキュリティやWebマルウェアからのセキュリティ、ボットネット対策を行うFireEyeのインテリジェンス・ラボが、4日後の15日にはMcColoが新しいプロバイダを見つけたようだと、ブログで報告している。

　続いて、25日付けのブログでは、Srizbiが全てのボットを新しいバイナリでアップデートを開始しているとしている。新しいコマンド&コントロールのサーバはエストニアにあり、ドメインはロシアの登録機関で登録されていた。

　Srizbiはバイナリのシード値を基にコミュニケーションを行うコマンド&コントロールを行うメカニズムになっている。McColo遮断の結果、ホスティングされていた主なIPがルーティング不可能になり、また復活時点でルーティング不可能であるにもかかわらず復活したことについては、このメカニズムにより再接続ができるようになっていたためだとFireEyeは説明する。つまり、Srizbi復活の鍵だったというわけだ。

　FireEyeは詳しくボットネットのコミュニケーションを調査している。再び活動を開始してサーバに接続したボットは、次にスパムメールのテンプレートをダウンロードした。その1つは偽の仕事オファーで指定のemailアドレスに履歴書を送るように求めている。世界経済が不況に陥る中、求職中のユーザも多いし、タイムリーなスパムだ。FireEyeの研究員は、このスパムにより個人情報を不正に取得することが目的だったと考えている。他には、男性向け機能強化製品に関するスパムもあったようだ。こちらはカナダの薬局につながっていた。

　25日に登録されたドメインのIPはただ1つ、キーマン諸島で登録されてドイツでホスティングされたものを除き、全てサーバはエストニアだった。さらに調べると、当初のスパムメールはcharacter setが"koi8-r"となっていた。"koi8-r"のencodeはロシア語、つまりスパムメールはロシア語を使う人が対象だったということになる。

　エストニアでのドメインサーバはStarline Web Servicesで、やはりCompicから回線を購入していた。状況がわかって、エストニアのコンピュータ緊急対応チーム（CERT）が迅速に対応して、サイトを閉鎖した。

　Srizbiボットネットを所有するグループは、McColo遮断による新しいISPを探す上で、小規模で米国外のISPなら見つかりにくいと考えたのかもしれない。Compicはサイバー犯罪者に友好的との評判もあったようだ。

●猛威を振るい続けるボットネット

　このSrizbiは、確認されてから1年余りしか経っていないものの、定期的に世界を騒がせてきた。2007年10月27日から30日までの3日間に、当時、共和党の大統領候補の1人だったポール議員のキャンペーンメールがSrizbiボットネットから大量に送付されたことをSecureWorksが確認した。

　ロン・ポール米下院議員は…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec