米連邦捜査局(FBI)は、2011年11月、トレンドマイクロの脅威リサーチ部門である Forward-looking Threat Research(FTR)チームの協力の下、当時サイバー犯罪史上最大のボットネットの閉鎖を実行しました。
FBI が「Operation Ghost Click」と呼ぶ作戦により、「Rove Digital」および子会社「Esthost」が所有する 100台以上のサーバのインフラが閉鎖され、ニューヨークとシカゴにあるデータセンタには強制捜査が行われました。また、400万台以上の感染PC は半年以上かけて正常な DNSサーバに変更されました。
このボットネットの閉鎖からおよそ 4年後、このサイバー犯罪者グループの首謀者「Vladimir Tsastsin」被告が、米国連邦治安判事の前でさまざまな容疑ついての罪を認めました。被告は現在、米国連邦刑務所で最長6年の懲役刑に直面しています。
Rove Digital および Esthost が実行したサイバー犯罪は、基本的には比較的単純なものでした。「DNS設定の変更を行なうトロイの木馬型の不正プログラム(DNSチェンジャー)」をユーザの PC に侵入させ、人気のドメインへの問い合わせを不正なサーバに誘導させるものです。こうして攻撃者は、ドメインに送信された誘導を誘導し、検索結果を乗っ取ったり、Web広告を置き換えたりするなど、検出が難しく利益をもたらす攻撃を実行しました。さらに、偽のセキュリティ対策製品も、このサイバー犯罪者グループの重要な収入源となっていました。
このような手法は検出が比較的難しく、長い間利用できるため、攻撃者はこうした手法を好みました。しかし、弊社は 2006年に早くもこのサイバー犯罪者グループの活動に気付き、当時から監視を続けていました。
2009年、エストニアと米国の法執行機関は、このサイバー犯罪者グループの活動を封鎖するために協力関係を築きました。弊社も、セキュリティ企業として唯一この取り組みに参画しました。
弊社のリサーチペーパー「The Rove Digital Takedown(英語情報のみ)」で、このサイバー犯罪者グループに関する情報をご参照いただけます。この事例に関する弊社の調査は重要な役割を果たし、Tsastsin被告を投獄するために不可欠なものとなりました。
図1:逮捕される前の Tsastsin被告
ボットネット閉鎖時に、首謀者の Vladimir Tsastsin被告を含む主犯の 6人が逮捕されました。Tsastsin被告は、2014年末になってようやく米国に引き渡され、正式に起訴されました。その後、被告の有罪答弁で、裁判は現在、刑の判決手続に進んでいます。Tsastsin被告は最長6年の懲役刑に直面しており、判決は今年10月に言い渡されることになっています。
長い年月と裁判を経て、Tsastsin被告はついに法の裁きを受けることになりました。トレンドマイクロは、サイバー犯罪を根絶し、ユーザに安全な世界を実現するために、献身的に世界各国の法執行機関と協力することを示しました。
この調査で重要な役割を果たした Feike Hacquebord の他、弊社の FTRチームはさまざまなサイバー犯罪組織を撲滅するため、現在も世界の法執行機関と連携して調査を行っています。
民間企業と法執行機関の協力関係は、弊社が訴え続けてきたテーマであり、その姿勢は終始一貫しています。弊社は、一企業として、司法制度の元でサイバー犯罪に正義の裁きを下すために協力していきます。
参考記事:
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)