- トレンドマイクロ セキュリティブログ - https://blog.trendmicro.co.jp -

明らかになった巨大ボットネットの正体 - 史上最大規模のサイバー犯罪を摘発

2011年11月8日、長らく活動を続けながら 400万以上のボット(感染コンピュータ)により形成された巨大ボットネットが、トレンドマイクロおよびその他の多数の業界関係者による協力の下、FBI とエストニア警察の捜査によって閉鎖されました。

FBI が「Operation Ghost Click」と呼ぶこの作戦において、ニューヨークとシカゴのデータセンタに対して強制捜査が実施され、100台以上の C&Cサーバで形成されていたインフラが閉鎖されました。同時に、エストニア第2 の都市タルトゥでこの犯罪活動に関与していた複数のメンバーがエストニア警察により逮捕されました。詳細は、FBI のプレスリリース [1]でも報じられています。

今回閉鎖されたボットネットは、感染により「DNS設定が別の IPアドレスに変更されたコンピュータ」で形成されていました。DNSサーバは、通常、判読可能な文字列で構成するドメイン名からインターネット上のコンピュータに割り振られている IPアドレスに変換する役割を担っています。通常ほとんどのユーザは契約しているインターネット・サービス・プロバイダ(ISP)の DNSサーバを自動的に利用しています。

この設定がいわゆる「DNS設定の変更を行なうトロイの木馬型の不正プログラム(DNSチェンジャー)」によってユーザが分からないように改変され、ユーザは全く別の DNSサーバを使わされることになります。これらの別の DNSサーバは、不正な第三者によって設置されており、特定のドメインが全く別の不正な IPアドレスに関連づけられる細工が施されてます。結果、被害を受けたユーザは、気づかないまま不正な Webサイトに誘導されることになります。

こういった「DNS改変型ボットネット」の手口は、Webサイト上の広告を不正なものに置き換えてユーザに表示したり、検索エンジンの乗っ取りを行なったり、他の不正プログラムに感染させるなど、様々な形でサイバー犯罪者たちの金儲け活動の有効な手段となっています。

図1:Rove DigitalによりコントロールされていたIPアドレスのリスト [2]
図1:Rove DigitalによりコントロールされていたIPアドレスのリスト

トレンドマイクロでは、この「DNS改変型ボットネット」に関与していると思われるグループの情報を 2006年から把握していました。法的機関による円滑な取り締まりや捜査実現のために我々が把握していた情報の公表は控えていました。

そして今回、主犯グループが逮捕され、問題のボットネットも閉鎖されたのを受け、トレンドマイクロではこの5年間に収集したインテリジェンスの一端について公表することにしました。

■「Rove Digital」の正体
不正プログラムによる感染からその感染コンピュータをボットとして利用して金儲けをするまでの全段階に関与していたサイバー犯罪グループが、「Rove Digital」という名前で知られている会社になります。この Rove Digital は、その他の「Esthost」、「Estdomains」、「Cernel」、「UkrTelegroup」、さらには、あまり知られていない小規模なダミー会社を統括する「親会社」でもありました。

Rove Digital は、一見すると、タルトゥ市にオフィスを構える「社員が毎朝出勤するごく普通の正規の IT企業」のようでもあります。しかしその正体は、このオフィスを拠点として、世界規模で感染させた膨大な数のボットをコントロールし、毎年それらのボットから莫大な金銭的利益を不正に得ていたサイバー犯罪グループでした。

子会社の Esthost は、Webホスティングサービスの再販業者を名乗っていましたが、サンフランシスコに設置していた自社のプロバイダ「Atrivo」が民間機関によって運転停止された際に同時にオフラインになったことが 2008年の秋に報じられています。また、これと同時期、Rove Digital のドメイン登録会社を名乗っていたEstdomains も、ICANN からの指示で認証資格が失効されています。これは、同社の CEO である Vladmir Tsastsin 氏が、母国のエストニアにおいてクレジットカード詐欺に関する有罪判決を受けたのが理由でした。こうした背景から、「Esthost も主にサイバー犯罪に関与している顧客を抱えているのではないか」という疑いが世間で高まり、Rove Digital も Esthost からのホスティングサービスを停止せざるを得なくなったようです

しかし、彼らのサイバー犯罪自体は別の形で継続されました。過去の事例から得た教訓を活かし、Rove Digital の背後の犯罪者グループは、「C&Cサーバのインフラを世界中に分散させる」という手段を講じたのです。こうして、かつて Atrivo でホスティングされていた大多数のサーバは、ニューヨークの Pilosoft データセンタに移行されたのです。むろん、ここにも彼らは以前から複数のサーバを保持していました。

図2、3:Rove Digitalの被害者から示された取引明細書 [3]

図2、3:Rove Digitalの被害者から示された取引明細書 [4]
図2、3:Rove Digital の被害者から示された取引明細書

Esthost が多数のサイバー犯罪者に利用されていたことは、2008年の時点でも報じられていました。しかしながら、当時でも報じられなかったのが、Esthost および Rove Digital の双方とも直接的にこうしたサイバー犯罪に深く関与していたという事実でした。

トレンドマイクロでは、Rove Digital が、単に不正プログラムの感染活動を行っていたというだけでなく、C&Cサーバや偽DNSサーバから、DNS改変型ボットネットを駆使したクリック詐欺による金銭詐取に使われたインフラまで、手広くコントロールしていたという事実を掴んでいました。また、DNS改変型不正プログラムの他にも、Esthost および Rove Digital の双方は、偽セキュリティソフトやクリック詐欺関連の不正プログラムの拡散から、(このエントリでは詳細は言及しませんが)薬品の不正販売やその他の様々なサイバー犯罪に関与していたことも我々は把握していました。

こうして過去数年にわたり収集された各種の証拠から、トレンドマイクロでは「Esthost および Rove Digital の双方とも、サイバー犯罪や詐欺行為に直接関与していたのは疑いのない事実である」と確信していました。Esthost および Rove Digital に対しての疑いは、こうした一連の簡単であるが紛れも無い事実の把握がきっかけとなりました。

■サイバー犯罪の形跡
まず、2006年の時点で、トレンドマイクロでは、DNS改変型ネットワーク(ボットネット)に関連する複数の C&Cサーバが「Esthost.com」のサブドメインに存在することを把握していました。たとえば、別の偽DNSサーバに関連する IPアドレスが DNS改変型の不正プログラム内でハードコード化されており、そのホスト先が「dns1.esthost.com」から「dns52.esthost.com」となっていました。1 から 52 まで数字が挿入され、52のドメイン名が使用されていることが分かります。

すべての偽DNSサーバを一度に更新できるバックエンドサーバも、「dns-repos.esthost.com」に存在していました。また、偽コーデックに関連する不正プログラムのバックエンドサーバも、「codecsys.esthost.com」に存在していました。このように示唆的な名前がサブドメイン名に使われていることから、「esthost.com」のドメインがハッキングでもされない限り、Esthost 自体だけができることになります。実際、ドメイン「esthost.com」がダウンした際、Rove Digital は自分たちが利用している C&Cサーバに「intra」で終わるプライベートなドメイン名を使用し始めました。我々は米国にある Rove Digital のサーバの 1つから完全な .intra のゾーン・ファイルのダウンロードに成功しています。

図4:Rove DigitalのCEO、Vladmir Tsastsin氏 [5]
図4:Rove DigitalのCEO、Vladmir Tsastsin氏

また、2009年には、2つのC&Cサーバに関連するハードディスク・ドライブのコピーも入手しました。ここから、「(DNS改変型の不正プログラムに感染したユーザによる)Webサイト上の広告の置き換え」も確認されました。また、このハードディスク・ドライブでは、Rove Digital の複数社員のものとされる SSH の公開鍵も確認しています。この公開鍵により、Rove Digital の社員がそれぞれプライベートキーで、パスワード無しでも C&Cサーバにログインすることができます。そしてサーバから入手できたログファイルをもとに、該当の C&Cサーバは Rove Digital のタルトゥ市のオフィスからコントロールされていたことに間違いないと、我々は結論づけていました。

さらには、Rove Digital が「Nelicash」と呼ばれる「偽セキュリティソフト(FAKEAV)と偽DNS とのアフィリエイト・プログラム」を運営していた事実も把握していました。我々は、特にこのプログラムの FAKEAV に関連するインフラ部分の図表のダウンロードに成功し、「Nelicash」に使用されていた C&Cサーバからは、実際にこの偽セキュリティソフトを購入した被害者に関するデータも発見していました。

こうして発見した被害に関する情報から、エストニアと米国で Rove Digital により管理されている IPアドレスから Rove Digital の社員が試験的にいくつかの注文を実施していることも把握していました。こうした点から、まさしく Rove Digital 自体が、偽セキュリティソフトの販売に直接的に深く関与していた事実が分かります。

また、同じ「Nelicash 」関連のC&Cサーバから、「2010年および 2011年に新たな偽DNSサーバの展開に関する詳細計画書」もダウンロードすることができました。この計画書によると、「ある特定の別のサーバ一組へのリダイレクトのために DNS設定変更を行う新たな不正プログラム」は、毎日のペースで拡散させることになっていました。実際、このようにして作成された DNS改変型不正プログラムを数日監視した結果、まさしく計画書どおりに DNS設定が変更される事実も確認できました。

図5:2010年および2011年に新たな偽DNSサーバの展開に関する詳細計画書 [6]
図5:2010年および 2011年に新たな偽DNSサーバの展開に関する詳細計画書

トレンドマイクロでは、このエントリ上ではすべて公開することができませんが、今回の件に関して様々な形の証拠を入手しています。我々が確認した証拠から、Rove Digital が大規模なサイバー犯罪に加担しており、巨大な「DNS改変型ボットネット」に直接関与していることは明白な事実です。

トレンドマイクロは、FBI、エストニア警察、トレンドマイクロ、その他業界関係者の連携が危険かつ巨大なボットネットの閉鎖を実現できたことを大変嬉しく思います。また、Rove Digital に関連する調査は地道な努力が伴いましたが、このような捜査協力関係があったからこそ、このボットネット犯罪に関与する容疑者逮捕につながったのではないでしょうか。

トレンドマイクロでは、初期の段階で Rove Digital が関与する C&Cサーバおよびバックエンドサーバのインフラを特定することに成功していました。そして、2011年11月8日時点まで、関連する C&Cサーバを継続して監視しました。一方、今回の捜査に協力した多数の業界関係者も、感染ユーザへの被害を最小限に抑えつつ管理下のもとでボットネット閉鎖を実現しるのに膨大な貢献を果たしました。

関連記事: ※英語記事のみ

  • Malware Blog:
     - Making a Million, Part One?Criminal Gangs, the Rogue Traffic Broker, and Stolen Clicks [7]
     - Making a Million, Part Two?The Scale of the Threat [8]
  • 米国Trend Micro – Trendwatch:
     - A Cybercrime Hub [9]
  • なお、トレンドマイクロの英語ブログ「CounterMeasures [10]」では、「Operation Ghost Click」の捜査下で調査されていた今回の事例の被害に遭っていないかの確認方法を紹介しています。

  • 英国トレンドマイクロ・ブログ「CounterMeasures」:
     - How to check if you are a victim of Operation Ghost Click [10]
  • 参考記事:

  • Esthost Taken Down – Biggest Cybercriminal Takedown in History [11]
     by Feike Hacquebord [12] (Senior Threat Researcher)
  •  翻訳・編集:与那城 務(Core Technology Marketing, TrendLabs)