McAfee Avert Labs Blog
「From Fast-Flux to RockPhish - Part 1」より
November 30, 2007 Posted by Francois Paget

 何年も前から,攻撃方法の高度化に関する話題を取り上げてきた。攻撃者が洗練された手口を使う理由は,主に攻撃の自由度と隠蔽度合いを高め,利益を増やすためだ。よく利用される攻撃手法やツールには,「Fast-Flux」や「RockPhish」,「MPack」といった名前が付いている。最近いくつかスパム送信行為や怪しいWebサイトを調査したので,そうした事例を使い,当ブログで二回に分けて新しいサイバー犯罪の手口を説明する。

 まず,極めて単純な例を紹介し,その後で手口を詳しく解説しよう。

 ドメイン名を多数持っているスパム送信者がいるとする。通常スパム送信者は,盗んだクレジットカード番号を使ってこれらのドメイン名を入手し,プロバイダから接続サービスの一時中断措置を受けるたびにドメイン名を切り替える。サービス中断の頻度は,プロバイダの警戒度や誠実度に応じて全く異なる。

 このスパム送信者は,サーバー1台でWebサイトを運営し,薬や偽造ブランド品などを売る。スパム対策ソフトをすり抜けるように,Webサイトの宣伝メールには無関係な情報やいい加減な文章を混ぜて送る。さらに多様化するために,持っている数多くのドメイン名を使ってWebサイトのURLをさまざまに変え,メッセージを送る。

 被害者がスパム・メールのリンクにアクセスしようとすると,記載されているURLに該当するサーバーのIPアドレスを問い合わせるため,ローカル環境のDNSサーバーに名前解決リクエストが送られる。

 URLの情報がローカルDNSサーバーのキャッシュに残っていれば,被害者のパソコンにサーバーのIPアドレスが直接返される。キャッシュ内に情報がなく,URL自体がその時点でも有効ならば,IPアドレスの問い合わせはルートDNSサーバーやプライマリDNSサーバー,またはその両方で解決される。その結果,数十個のドメイン名を1台のサーバーに割り当てることができる。

 この手口で複数のドメイン名と一つのIPアドレスを結びつけることに成功した例を示す。

 フィッシングが絡むと手口は複雑になる。フィッシング対策団体アンチフィッシング・ワーキング・グループ(APWG)のフィッシング報告件数と新規フィッシング・サイト数に関する調査結果グラフを見ても,フィッシング被害者の人数はよく分からないが,実は2007年に被害者は急増した。

 報告件数(被害の発生したものと発生しなかったものの合計)は,2006年半ばから変化していない。興味深いのは,新規フィッシング・サイト数が2006年11月に急増し,特に大きなピークが2007年4月にある点だ。一体どうしたらサイト数が報告数の3倍にもなるのだろう。その答えがRockPhishである。

 分かりやすくするために,最初の例を発展させ,RockPhishの前段階として「single-flux」「double-flux」という手口を説明する。

 single-fluxで悪人の使うドメイン名は一つだけだ。節操のないアクセス・プロバイダが存在するおかげで,悪人は自分専用のDNSサーバーを運用できる。さらにマルウエアを感染させたパソコン(ゾンビ)で構成したボットネットを持っており,被害者と自分のWebサイトをつなげる際に利用する。DNSサーバーのデータ有効期限を極端に短くし,大量にあるゾンビのIPアドレスを順番に変えることで,ミラー・サイト・アクセス時に必要な物理アドレスを変更し続けられる。

 特にIPアドレスを順番に変えるという手口が,悪人をうまく守っている。

 被害者がミラー・サイトにアクセスしようとすると,サイトのドメイン名を管理しているDNSサーバーに名前解決リクエストが送られる。

 このDNSサーバーがドメイン名のIPアドレスを保持している時間は数分にも満たないほど短いので,事実上キャッシュされないことになる。その結果,悪人のDNSサーバーに問い合わせが届き,あるゾンビのIPアドレスが被害者に返される。接続はこのやり取りが行われる数分間で完了し,消えてしまう。このため鍵となるWebサイトの特定と無効化が難しくなる。

 single-fluxを使っているオンライン・カジノ・サイトの例を示しておく。

 Windowsのdig(Domain Information Groper)コマンドでネットワークの状況を調べると,データの有効期限が非常に短く,IPアドレスがバラエティに富んでいることが分かる。single-fluxを使ったカモフラージュには,こうした特徴が現れる。

 次回は,まずdouble-fluxの仕組みを説明し,その後でRockPhishについて述べる。


Copyrights (C) 2007 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「From Fast-Flux to RockPhish - Part 1」でお読みいただけます。