明らかになった巨大ボットネットの正体 - 史上最大規模のサイバー犯罪を摘発
2011年11月8日、長らく活動を続けながら 400万以上のボット(感染コンピュータ)により形成された巨大ボットネットが、トレンドマイクロおよびその他の多数の業界関係者による協力の下、FBI とエストニア警察の捜査によって閉鎖されました。
2011年11月8日、長らく活動を続けながら400万以上のボット(感染コンピュータ)により形成された巨大ボットネットが、トレンドマイクロおよびその他の多数の業界関係者による協力の下、FBIとエストニア警察の捜査によって閉鎖されました。
FBIが「Operation Ghost Click」と呼ぶこの作戦において、ニューヨークとシカゴのデータセンタに対して強制捜査が実施され、100台以上のC&Cサーバで形成されていたインフラが閉鎖されました。同時に、エストニア第2の都市タルトゥでこの犯罪活動に関与していた複数のメンバーがエストニア警察により逮捕されました。詳細は、FBIのプレスリリースでも報じられています。
今回閉鎖されたボットネットは、感染により「DNS設定が別のIPアドレスに変更されたコンピュータ」で形成されていました。DNSサーバは、通常、判読可能な文字列で構成するドメイン名からインターネット上のコンピュータに割り振られているIPアドレスに変換する役割を担っています。通常ほとんどのユーザは契約しているインターネット・サービス・プロバイダ(ISP)のDNSサーバを自動的に利用しています。
この設定がいわゆる「DNS設定の変更を行なうトロイの木馬型の不正プログラム(DNSチェンジャー)」によってユーザが分からないように改変され、ユーザは全く別のDNSサーバを使わされることになります。これらの別のDNSサーバは、不正な第三者によって設置されており、特定のドメインが全く別の不正なIPアドレスに関連づけられる細工が施されてます。結果、被害を受けたユーザは、気づかないまま不正なWebサイトに誘導されることになります。
こういった「DNS改変型ボットネット」の手口は、Webサイト上の広告を不正なものに置き換えてユーザに表示したり、検索エンジンの乗っ取りを行なったり、他の不正プログラムに感染させるなど、様々な形でサイバー犯罪者たちの金儲け活動の有効な手段となっています。
トレンドマイクロでは、この「DNS改変型ボットネット」に関与していると思われるグループの情報を2006年から把握していました。法的機関による円滑な取り締まりや捜査実現のために我々が把握していた情報の公表は控えていました。
そして今回、主犯グループが逮捕され、問題のボットネットも閉鎖されたのを受け、トレンドマイクロではこの5年間に収集したインテリジェンスの一端について公表することにしました。
「Rove Digital」の正体
不正プログラムによる感染からその感染コンピュータをボットとして利用して金儲けをするまでの全段階に関与していたサイバー犯罪グループが、「Rove Digital」という名前で知られている会社になります。このRove Digitalは、その他の「Esthost」、「Estdomains」、「Cernel」、「UkrTelegroup」、さらには、あまり知られていない小規模なダミー会社を統括する「親会社」でもありました。
Rove Digitalは、一見すると、タルトゥ市にオフィスを構える「社員が毎朝出勤するごく普通の正規のIT企業」のようでもあります。しかしその正体は、このオフィスを拠点として、世界規模で感染させた膨大な数のボットをコントロールし、毎年それらのボットから莫大な金銭的利益を不正に得ていたサイバー犯罪グループでした。
子会社のEsthostは、Webホスティングサービスの再販業者を名乗っていましたが、サンフランシスコに設置していた自社のプロバイダ「Atrivo」が民間機関によって運転停止された際に同時にオフラインになったことが2008年の秋に報じられています。また、これと同時期、Rove Digitalのドメイン登録会社を名乗っていたEstdomainsも、ICANNからの指示で認証資格が失効されています。これは、同社のCEOであるVladmir Tsastsin氏が、母国のエストニアにおいてクレジットカード詐欺に関する有罪判決を受けたのが理由でした。こうした背景から、「Esthostも主にサイバー犯罪に関与している顧客を抱えているのではないか」という疑いが世間で高まり、Rove DigitalもEsthostからのホスティングサービスを停止せざるを得なくなったようです。
しかし、彼らのサイバー犯罪自体は別の形で継続されました。過去の事例から得た教訓を活かし、Rove Digitalの背後の犯罪者グループは、「C&Cサーバのインフラを世界中に分散させる」という手段を講じたのです。こうして、かつてAtrivoでホスティングされていた大多数のサーバは、ニューヨークのPilosoftデータセンタに移行されたのです。むろん、ここにも彼らは以前から複数のサーバを保持していました。
Esthostが多数のサイバー犯罪者に利用されていたことは、2008年の時点でも報じられていました。しかしながら、当時でも報じられなかったのが、EsthostおよびRove Digitalの双方とも直接的にこうしたサイバー犯罪に深く関与していたという事実でした。
トレンドマイクロでは、Rove Digitalが、単に不正プログラムの感染活動を行っていたというだけでなく、C&Cサーバや偽DNSサーバから、DNS改変型ボットネットを駆使したクリック詐欺による金銭詐取に使われたインフラまで、手広くコントロールしていたという事実を掴んでいました。また、DNS改変型不正プログラムの他にも、EsthostおよびRove Digitalの双方は、偽セキュリティソフトやクリック詐欺関連の不正プログラムの拡散から、(このエントリでは詳細は言及しませんが)薬品の不正販売やその他の様々なサイバー犯罪に関与していたことも我々は把握していました。
こうして過去数年にわたり収集された各種の証拠から、トレンドマイクロでは「EsthostおよびRove Digitalの双方とも、サイバー犯罪や詐欺行為に直接関与していたのは疑いのない事実である」と確信していました。EsthostおよびRove Digitalに対しての疑いは、こうした一連の簡単であるが紛れも無い事実の把握がきっかけとなりました。
サイバー犯罪の形跡
まず、2006年の時点で、トレンドマイクロでは、DNS改変型ネットワーク(ボットネット)に関連する複数のC&Cサーバが「Esthost.com」のサブドメインに存在することを把握していました。たとえば、別の偽DNSサーバに関連するIPアドレスがDNS改変型の不正プログラム内でハードコード化されており、そのホスト先が「dns1.esthost.com」から「dns52.esthost.com」となっていました。1から52まで数字が挿入され、52のドメイン名が使用されていることが分かります。
すべての偽DNSサーバを一度に更新できるバックエンドサーバも、「dns-repos.esthost.com」に存在していました。また、偽コーデックに関連する不正プログラムのバックエンドサーバも、「codecsys.esthost.com」に存在していました。このように示唆的な名前がサブドメイン名に使われていることから、「esthost.com」のドメインがハッキングでもされない限り、Esthost自体だけができることになります。実際、ドメイン「esthost.com」がダウンした際、Rove Digitalは自分たちが利用しているC&Cサーバに「intra」で終わるプライベートなドメイン名を使用し始めました。我々は米国にあるRove Digitalのサーバの1つから完全な.intraのゾーン・ファイルのダウンロードに成功しています。
また、2009年には、2つのC&Cサーバに関連するハードディスク・ドライブのコピーも入手しました。ここから、「(DNS改変型の不正プログラムに感染したユーザによる)Webサイト上の広告の置き換え」も確認されました。また、このハードディスク・ドライブでは、Rove Digitalの複数社員のものとされるSSHの公開鍵も確認しています。この公開鍵により、Rove Digitalの社員がそれぞれプライベートキーで、パスワード無しでもC&Cサーバにログインすることができます。そしてサーバから入手できたログファイルをもとに、該当のC&CサーバはRove Digitalのタルトゥ市のオフィスからコントロールされていたことに間違いないと、我々は結論づけていました。
さらには、Rove Digitalが「Nelicash」と呼ばれる「偽セキュリティソフト(FAKEAV)と偽DNSとのアフィリエイト・プログラム」を運営していた事実も把握していました。我々は、特にこのプログラムのFAKEAVに関連するインフラ部分の図表のダウンロードに成功し、「Nelicash」に使用されていたC&Cサーバからは、実際にこの偽セキュリティソフトを購入した被害者に関するデータも発見していました。
こうして発見した被害に関する情報から、エストニアと米国でRove Digitalにより管理されているIPアドレスからRove Digitalの社員が試験的にいくつかの注文を実施していることも把握していました。こうした点から、まさしくRove Digital自体が、偽セキュリティソフトの販売に直接的に深く関与していた事実が分かります。
また、同じ「Nelicash」関連のC&Cサーバから、「2010年および2011年に新たな偽DNSサーバの展開に関する詳細計画書」もダウンロードすることができました。この計画書によると、「ある特定の別のサーバ一組へのリダイレクトのためにDNS設定変更を行う新たな不正プログラム」は、毎日のペースで拡散させることになっていました。実際、このようにして作成されたDNS改変型不正プログラムを数日監視した結果、まさしく計画書どおりにDNS設定が変更される事実も確認できました。
トレンドマイクロでは、このエントリ上ではすべて公開することができませんが、今回の件に関して様々な形の証拠を入手しています。我々が確認した証拠から、Rove Digitalが大規模なサイバー犯罪に加担しており、巨大な「DNS改変型ボットネット」に直接関与していることは明白な事実です。
トレンドマイクロは、FBI、エストニア警察、トレンドマイクロ、その他業界関係者の連携が危険かつ巨大なボットネットの閉鎖を実現できたことを大変嬉しく思います。また、Rove Digitalに関連する調査は地道な努力が伴いましたが、このような捜査協力関係があったからこそ、このボットネット犯罪に関与する容疑者逮捕につながったのではないでしょうか。
トレンドマイクロでは、初期の段階でRove Digitalが関与するC&Cサーバおよびバックエンドサーバのインフラを特定することに成功していました。そして、2011年11月8日時点まで、関連するC&Cサーバを継続して監視しました。一方、今回の捜査に協力した多数の業界関係者も、感染ユーザへの被害を最小限に抑えつつ管理下のもとでボットネット閉鎖を実現しるのに膨大な貢献を果たしました。
翻訳・編集:与那城 務(Core Technology Marketing, TrendLabs)