McAfee Avert Labs Blog
「From Fast-Flux to RockPhish - Part 2」より
January 9, 2008 Posted by Francois Paget

 インターネット上の詐欺の大部分をとりしきる犯罪グループは,巨大でかつ組織化されている。この事実は,もはや秘密でも何でもない。2007年第4四半期に,最も有名な犯罪組織の一つであるロシアのRussian Business Network(RBN)について2件の調査結果が発表された。筆者はその年,これらに興味深く目を通した。一つ目の調査は「Uncovering Online Fraud Rings:The Russian Business Network」(オンライン詐欺の輪をあばく:RBN)というもので,米ベリサインがWebキャストで配信している(同社のWebサイト)。二つ目は,David Bizeul氏による「Russian Business Network study(PDF形式)」だ。

 これらの調査報告は,いずれもRBNが帝国を築いていることを実証しており,RBNは直接的あるいは間接的に,おびただしい数のWebサイトを管理している。巧妙でしつこい広告技術が功を奏し,毎月数百万というインターネット・ユーザーがRBNにある偽の小売りWebサイトを訪れるのだ。ハッカーやその他犯罪集団もRBNに店を構える。マルウエアをはじめ,サービス,地雷付きWebサイトなどを売る店舗やアウトレットだ。ポルノや小児性愛の類は,常にRBNで利益を生み出している。

 上記の報告書のほかにも,ネット上で詳細な記事がいくつか出回っている(Brian Krebs氏が執筆した,米ワシントン・ポスト紙の記事およびブログ記事,RBNに関するブログ「RBNexploit」およびDancho Danchev氏のブログ)。

 容疑者たちの実際の住所,名前,写真,詳細なマシン・リスト,自律システム(AS:例えば接続しているネットワークのドメイン)などの詳細が明らかとなったため,RBNは部分的に雲隠れすることが得策と判断したようだ。2007年11月6日に,ネットワーク上のノードの多くが応答しなくなった。しかし,これはRBNの終えんではなかった。彼らのビジネスは入念に計画されており,その時点で攻撃活動を盛んに行っていたWebサイトにもしわ寄せはなかった。一度は応答しなくなったWebサイトは,徐々にロシアをはじめとする世界各地で再登場しつつある。現在のところ,東南アジアの多くの国が挙げられているが,それだけにとどまらない。再編成されたRBNがあちこちで動き出している。例えば,偽造製品(主にセキュリティ製品やビデオ・コーデック)の小売り支払いシステム,巧妙なバナー広告で罠を仕掛けてコンピュータを偽の小売りWebサイトに誘導する新たな合法的Webサイト,新しいC&C(command-and-control)サーバーのボットネットで実行されている新型ワーム「Storm」(別名「Nuwar」)が存在する。さらに,悪意のあるソフトウエア(MPackやWebAttackerなど)をホスティングする新たなWebサイトもある。そこにはiframeタグが隠されていて,これに遭遇するインターネット・ユーザーに魔の手が伸びる。

 RBNを追跡している人々は,RBNのASを常に警戒している。ASは一つの実体が管理するIPネットワークの集合体で,「AS番号」で定義される。上で紹介したRBNexploitのブログ記事やBizeul氏の文書は,ASに関して詳細な全体像をとらえており,さまざまなネットワーク図や表を用いて,読者がRBNの複雑さを理解できるようになっている。

 RBNを形作るパズルの1ピースに相当するのが「AS40989」だ。RBNの活動の中核を担うものではないが,同集団の正式名称となっているためその名が知られている。サイバー犯罪に関する調査グループShadowserver Foundationでは,AS40989に関する最新の調査結果(PDF形式)をWebサイトに掲載している。

 この調査結果は,AS40989にまつわる悪意のあるバイナリ活動を分析している。2007年3~11月にかけて,同グループの調査員は,RBNからHTTP接続されているマルウエア2859件を収集した。見つかったのは「Gozi,Goldun,Hupigon,Nurech,Nuklus,Pinch,Sinowal,Tibs,Xorpix,各種ダイヤラ,ダウンローダ,ワーム,アドウエア,ページ・ハイジャッカー,プロキシ」と,驚くようなマルウエアのコレクションだ。ここからも改めて,RBNのプロ意識とその規模が伺える。

 RBNに関して書かれたものはたくさんある。今回の投稿記事で筆者がただ望むのは,現在出回っているこれらの文書に対して読者の注意を向けることだ。そこには,生まれ変わったRBNの活動力が浮き彫りにされているほか,米マカフィーを始めとする多くの専門家たちが,インターネットの闇の部分を絶えず注視して目まぐるしく変化する状況を把握し,このような脅威に対して世界規模で戦いを挑んでいることが明らかにされている。


Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「The Russian Business Network is on tenterhooks」でお読みいただけます。