PR
写真●米IronPortのVice PresidentであるPatrick Peterson氏
写真●米IronPortのVice PresidentであるPatrick Peterson氏
[画像のクリックで拡大表示]

 2007年に猛威をふるったストーム・ワーム(Storm Worm)によってボットネットと化したパソコンの台数は,累計110万台に及ぶ---。米Cisco Systems傘下のセキュリティ・ベンダー米IronPortのVice PresidentであるPatrick Peterson氏は4月11日まで開催された「RSA Conference 2008」の講演で,このような見方を示した。

 ストーム・ワームとは,2007年1月に欧州を襲った大嵐を機に,爆発的に広まったワームである。当初,ワーム(ウイルス)が添付された電子メールの件名が「230 dead as storm batters Europe(欧州を襲った大嵐で230人が死亡)」というものだったことからストーム・ワームと呼ばれている。Peterson氏はストーム・ワームの特徴を「非常に高度なソーシャル・エンジニアリング手法が用いられたこと」と「高度化したボットネット技術が使われていること」と指摘する。

高度化するフィッシング・メールの中身

 ストーム・ワームは,当初のメールの文面自体が「大嵐のニュース」を騙ったように,ついうっかり読みたくなるような文面のメールに,マルウエアを含んだワードやPDFファイルなどが添付されることで広まった。マルウエアを実行したクライアント・パソコンは,犯罪者が運用するボットネットの一部となり,スパム・メールの配信などに悪用される。

 欧州の大嵐をネタにしたもの以外にも,ストーム・ワームには大量の亜種が出現した。Patrick Petersonは,そのいずれもが高度なソーシャル・エンジニアリング手法(他人を欺く手法)が使われていたと指摘する。例えば,2007年9月には,アメリカン・フットボールの「試合結果サイト」を案内するフィッシング・メールが登場し,ワームが仕込まれた「NFLの公式サイト」にそっくりなフィッシング・サイトにユーザーをおびき寄せ,ワームに感染させた。

 このほか,「YouTubeにあるおもしろ動画」を宣伝するフィッシング・メール(もちろんリンク先はYouTubeの偽装サイト)や,バレンタイン・デー・メッセージを装ったメールなども使われており,今なお被害が続いている。

高度化するボットネット技術

 ストーム・ワームのもう1つの特徴である「ボットネット技術の高度化」に関してPeterson氏は,ボットネットの歴史を振り返りながら説明した。2002年頃に登場した「第1世代」のボットネットは,トロイの木馬に感染したパソコンをインターネットのチャットに使われるIRCプロトコルを利用してコントロールすることで構成されていた。つまりこの頃のボットネットには,明確な「セントラル・ノード」が存在し,IRCプロトコルをブロックすれば,活動を阻害できた。

 しかしその後登場した「第2世代」のボットネットでは,セントラル・ノードはボットネットのコントロールに様々なプロトコル,様々なTCP/UDPポートを使用するようになった。さらに,セントラル・ノードがDNSを使うようになったのも第2世代からの特徴である。セントラル・ノードのIPアドレスが変わっても,ボット・ネットが運用できるようになったわけだ。

 そして,ストーム・ワームのボットネットは「第3世代」に進化した。第3世代のボットネットの特徴は,「分散ハッシュ・テーブル」を使うセンター・サーバーが不要のP2P(Peer to Peer)技術を使っていることである。

 実はP2P技術自体にもいくつか世代があり,かつての「NAPSTER」(第1世代)や「GNUTELLA」(第2世代)といったP2Pシステムには,セントラル・サーバーが必要だった。しかし,「BitTorrent」に代表される第3世代のP2Pシステムは,ノードやコンテンツの情報などが記された分散ハッシュ・テーブルを共有することで,セントラル・サーバー無しでP2Pを実現している。

 分散ハッシュ・テーブルを使うP2Pシステムの1つに「eDonkey」と呼ばれるソフトウエアがあり,この互換ソフトが「eMule」という名称でオープンソース化された。そのため,ボットネットでも分散ハッシュ・テーブルを使う第3世代のP2P技術が使われるようになったとPeterson氏は指摘する。

 ストーム・ワームに感染したパソコンは,それ自体がストーム・ワームが構築するP2Pネットワーク(=ボットネット)の一員となる。そして,ボットネット・プログラムのパッチや,フィッシング・メールなどに使用するプログラムなどが,P2Pネットワークを通じて配信されているという。

偽バイアグラ業者がスパム配信にストーム・ワームを利用

 ストーム・ワームによって構築されたボットネットは,様々な悪事に使われている。ストーム・ワーム自身の配信はもちろん,偽バイアグラなどの売り込みを図るスパム・メールの配信にも使われており,IronPortの2007年7月の試算では,全世界のスパム・メールの20%がストーム・ワームに感染したノードから配信されていたという。

 ストーム・ワームのボットネットが配信するスパム・メールの中には,Peterson氏が2007年のRSA Conferenceでも講演で触れた偽バイアグラ業者が配信するものも含まれていた(関連記事:スパマーを追跡---インドから正体不明の薬が届くまで)。このような業者は,スパム・メールの配信にボットネットを,フィッシング・サイトの運用に乗っ取ったWebサイトを利用しており,追跡するのが非常に難しい。

 Peterson氏は今回の講演で,IronPortが独自にストーム・ワームのボットネットの規模を測定したことも明らかにしている。スパム対策ベンダーのIronPortでは,スパム・メールの分析を常に行っている。そのスパム・メールの送信元IPアドレスの何割がストーム・ワームのボットネットのIPアドレスになっているかを分析することで,ストーム・ワームの規模を推し量ったという。その結果Peterson氏が推定する「これまでにストーム・ワームに感染して,ボットネットになったコンピュータの台数」は,110万台になったという。

 Peterson氏は最後に,「ストーム・ワームは,サイバー犯罪エコシステムによって,注意深く運用され,メンテナンスされ続けている」と指摘。今後もストーム・ワームに対する警戒が必要だと注意を促した。