Igor氏の投稿記事(ならびに米マイクロソフトの建物入り口でダンスを披露するTerry Zink氏の投稿記事)に触発されたので,Webの闇社会に荷担しているドメイン名システムのサービス・プロバイダ,レジストラ(ドメイン名登録受け付け業者),リセラー,登録者の複雑怪奇を解明してみることにした。
この調査の発端は,スパム対策プロジェクト「Knujon」のGarth氏が,インドのディレクティ(Directi)が複数の「サクラ」レジストラを登録していると指摘したことだ。その後筆者は,米ワシントン・ポスト紙のBrian Krebs氏が書いた,米アトリーボが最も危険なネットワークの一つであるとする記事を読んだ。Krebs氏は,ESTドメイン(EST)という会社についての思わせぶりな一文で記事を締めくくっていた。そこで筆者は,次にどうなるのかを想像しながら,ESTとアトリーボ(インターケージやサーネル,インホスタといった別名もある),プライバシー保護サービスなどを結び付けているネットワーク内部の動きに踏み込んでみようと思う。この話題を別の切り口からとらえることで,「ささやかとは言えない」規模の企業,ディレクティの秘密を暴く。同時に,現在のWeb界で最大の犯罪者グループのドメイン名登録を支える,表面にはほとんど見えないが彼らにとって欠かすことのできないサービスにスポットを当ててみようと思う。
まず,ディレクティ・グループと関連会社の情報を以下にまとめておく。
・インドの非公開企業で,報告によると総売上高は3億ドル
・レジストリ(ドメイン名管理業者)とレジストラの管理に使われる製品のメーカー,ロジックボクシズを傘下に保有
・リセラーのResellerclub.com,レジストラのAnswerable.comも保有
・ドメインを金儲けに使うサービスを提供するskenzo.comを保有
・ロジックボクシズは,50以上のICANN認定レジストラをカバーする約4万5000のリセラーと350万件強のドメインを管理
・ロジックボクシズのサービスには,ネットワークの利用規則であるAUP(Acceptable Use Policy)がない
最後の項目が「ディレクティ・ネットワーク」の中ではつながりが弱い。ディレクティ傘下のロジックボクシズはドメインの自動登録サービスを契約ベースで行っているが,AUPを設けておらず,組織的犯罪とつながりのある団体に対して同サービスを提供している。
ロジックボクシズの製品はソフトウエアあるいはターンキー方式のASPソリューションだが,いくつかの簡単なテスト(具体的な内容について,現時点ではあえて公表を差し控える)により,同社のソフトウエアがバックエンド・サービスと組み合わさっていることが判明した。外見上はそのようには見えないが,ディレクティはサービス・レイヤーを通じて,この犯罪ゲームのあらゆる段階にかかわっていることが分かる。
(ドメイン名登録システムの複雑きわまりない機構が理解できないのであれば,John Levine氏に文句を言ってほしい。Levine氏も自らの失策であることを認めており,このスライドですべてを「一目瞭然」に説明している)
リセラーでもあるレジストラの秘密めいた世界:
ESTやダイナミック・ドルフィン(DD)などは,ディレクティが抱えるリセラーのごく一部に過ぎない。これらはICANN認定レジストラであり,ロジックボクシズの顧客でもある。だが,Garth氏とBrian氏の投稿記事によると,「サクラ」のレジストラも多数存在するし,そのほかにもよく分からない点がたくさんあるという。しかし,これらのレジストラとリセラーの間では,不釣り合いなほど多くのドメインが提供されている。こうしたドメインは不法行為に利用されているうえ,大半がディレクティ傘下のロジックボクシズのサービスにたどり着く。筆者の見積もりによると,ドメイン数はこれまでに合計10万に達しようとしており,それらすべてが違法薬品の提供を通じたソーシャル・ネットワーキング・スパムから,ボットネットの制御用(C&C:command-and-control)サーバーにまで使われている。
それでも疑いを禁じ得ない人々のために,公開されている膨大な証拠をご覧に入れよう。ESTの過去5日間のURIブラックリスト(URIBL)を見てもらいたい。リンク先のドメインはすべて,スパム・ページ,偽のマルウエア対策製品,偽装コーデックによるポルノといった,誰もがクリックしたくないようなサイトだ。合法的なレジストラがなぜ,公開されているURIBLの監視と対策を怠っているのか筆者には全く理解できない。
証明が可能な正当な住所,あるいは十分に認知された有効な連絡先がなければ,ICANNによるレジストラの認定は事態の改善には役に立たない。ただ,我々には仲介業者やベンダーを認定するプロセスがある。誰かコピーを送ってあげてほしい。
スパム監視団体のSpamhaus Projectに籍を置く友人は,ESTの尋常でない量のリスティングに言いたいことが山ほどあるようだ。手はじめに,Spamhausのネーム・サーバーのリスト(ブロック・リスト番号SBL53320およびSBL53319)を見てほしい。ROKSOを検索すると,さらにたくさん表示される。アトリーボについては,問題が引きも切らない(参照記事)。これらの問題はインターネットの停滞に大きく影響する可能性がある。これらインターネットの構造に関する詳細を得るため,筆者はホスト監視サイト「hostexploit.com」に掲載された文書(PDF形式)を一読した。フィーダ・トランジット・ネットワークの中には同一の犯罪集団が所有または運用していて,冗長性を確保するためだけに存在しているものがあるようだ。そのことを心にとめてきたい。
筆者が直接調べたところでは,ESTは二つの拠点に分かれており,一つはレジストラとなっており,もう一つはWhoisデータベースのPublic Domain Registry(PDR)に記載されている。後者は「サクラ」,もとい,前述したディレクティの「resellerclub dot com」で「空白レジストラ」となっている。ディレクティがリセラー向けに提供する,Whoisのプライバシー保護サービス「PrivacyProtect.org」が,事態を一層悪化させている。
誤解しないでほしいのだが,ディレクティはあくまで糸口である。ディレクティ傘下のレジストラでドメインを直接登録し,AUPに違反したとしても,当該レジストラはその他のレジストラと同様に振る舞う。筆者が特に取り上げているのは,Webの闇社会に対してディレクティが提供しているその他のサービスである。
さらに,ESTのポートフォリオではプライバシー保護が取り消されている模様で,これは是正に向けた大きな一歩である(El Regおよびknujonの投稿記事における最新情報だが,いずれも素晴らしい仕事ぶりだ)。ただし,いずれも展開が非常に早く,ESTは最近,自らのプライバシーを要する機能を自身のドメインprotectdetails.comに移動させた。
最後に,これらの中核を担うサービスを提供し,利益を上げているディレクティの経営陣,Bhavin Turakhia氏およびDivyank Turakhia氏に問いたいのは,「ESTの悪行は分かっているはずだ。 いつになったらEST,DDなど,明らかに犯罪に手を染めている者たちへの支援を完全にストップし,これらを排除するのか」ということだ。
レジストリやレジストラのだれかが,お決まりのように「スミス&ウェッソン」の銃を振りかざしてわめき立てる前に次の点を考えてみてもらいたい。「スミス&ウェッソン」は地図や車を売ってないし,森に連れて行ってくれることもないし,カムフラージュしてくれることもない。ICANNの認定を手伝ってくれることもなければ,銃に弾丸を込めてくれることもないのだ。
Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「The darksides domains」でお読みいただけます。
