海外における個人情報流出事件とその対応　第219回使いやすくなったキットを使った史上最大のコンピュータ犯罪（1）史上最大のコンピュータ犯罪

●使いやすくなったキットを使った史上最大のコンピュータ犯罪3月2日、『Reuter』が、巨大ボットネットを運営していたスペインに住む3人をスペイン警察が逮捕したと報じた。このMariposaボットネットには1,000万台を超えるコンピュータが組み込まれていたということで、英国の『Telegram』をはじめとするメディアや多数のセキュリティ企業が取り上げて、大きなニュースになっている。

ボットネットを見つけたのは、カナダの情報セキュリティの会社、DefenceIntelligenceで昨年５月のことだ。直ちにスペインに欧州本社を持つPandaSecurityや、米国Georgia Tech Information Security、その他、FBIをはじめとする捜査機関が、このボットネット対策のためのタスクフォース、MariposaWorking Groupを結成。捜査を開始した。

その大きさだが、『Reuter』報道の翌日、3日にマドリッドで行われた記者会見で、スペイン警察は、1,270万のゾンビを持つボットネットを12月に“解体”したと、明らかにした。一方、Defense Intelligenceは「大きさについては、正確に特定するのは難しいが、12月23日と２月９日の間で、1,100万件のユニークIPを確認した」と発表している。いずれにせよ、極めて大きなボットネットであったことは間違いない。

Panda Securityは、「（犯行グループ）は常に、匿名VPN (Virtual PrivateNetwork)サーバからMariposaのコントロールサーバに接続しており、本当のIPアドレスを特定されることを防いでいたので、この活動の背後にいる犯罪者達を突き止めることは非常に複雑になっていました」と明らかにしている。しかし、怒った犯行グループのリーダーが報復のために、DoS攻撃を開始。カナダのISPのユーザが数時間にわたり、インターネットを使用できなくなるなどの被害を受けた。その際、追跡されないようにVPNサーバを使っていた犯人が、誤って、コマンドシステムを自宅のPCに接続した。その結果、2月上旬の検挙につながった。

ボットネットではマルウェアを使って、PCをゾンビにする。今回はインスタントメッセージやUSBメモリ、P2Pネットワークで攻撃を行っていた。ほかにもInternet Explorer 6の脆弱性も悪用していた。ボットネットに組み込まれた後は、リモートでのアクセスを可能にするトロイの木馬や、金融情報を盗むZeusのようなトロイの木馬などを感染させられた。

●Fortune誌1,000社の半分と、多数の大企業が被害ボットネットの目的は情報盗難で、逮捕時に押収したシステムからは80万人分の個人情報が見つかっている。クレジットカード情報、ユーザ名、パスワード、金融機関情報が確認された。Panda Securityによると、3人はオンラインバンキングなどの情報を盗んで、被害者の口座にアクセス。不正送金したあと、Money muleを使って資金を転送したり、オンラインギャンブルサイトでマネーロンダリングを行ったりしていた。

そのほか、これらの情報や、ボットネットの一部を他のサイバー犯罪者に販売するなどして、犯行グループは利益を得ていた。2007年にJason Franklin、Vern Paxson、Stefan Savage、Adrian Perrigが発表した数字では、1,300万台のコンピュータのボットネットの持ち主は年間40万ドルの収入があるとしている。

※本記事は有料購読会員に全文を配信しました

(バンクーバー新報　西川桂子)