「If RBN is dead, their customers are still alive」より
September 12,2008 Posted by Francois Paget
Chris Barton氏がブログに書いたドメイン名システムの闇社会を読んで,犯罪組織「ロシアン・ビジネス・ネットワーク」(RBN)が今どのような状況にあるのかが気にかかった(関連記事:犯罪者帝国を築くロシア最大の犯罪グループ「RBN」/マルウエアを野放しにするロシアのISP)。
2008年になって,Webに流れる投稿記事やホワイトペーパーに,新たな役者が登場するようになった。トルコのアブダラ・インターネット・ヒズメットレリ(AIH,AIHに関する文書),米アトリーボ(アトリーボに関する文書),インドのディレクティ,エストニアのESTドメイン(EST)といったインターネット・プロバイダだ。これらの企業はRBNと同様に,マルウエア/フィッシング/オンライン詐欺にかかわる多くの悪人どもをかくまっている疑いが強い。
サイバー犯罪に関する調査グループShadowserver Foundationは2008年2月に,大量のドメインがRBNからAIHへ移管されたとする文書をリリースした。筆者を含め多くの研究者が,この動きをRBNの復活だと考えた。しかし実際には,複数のフランス人ブロガーが考えた通り,これは犯罪者が悪徳サービス・プロバイダを乗り換えただけの話だった。
2008年8月最終週にサイバー犯罪研究者のJart Armin氏が論文を公開した。その中では,ロシアの要塞都市サンクト・ペテルブルグにあるRBNについては,ほとんど言及されていなかった。かつてRBNの防衛手段として知られていた多くのネットワークは,カリフォルニア州の企業グループ,アトリーボの中核要素として掲載されていた(米ワシントン・ポスト紙のBrian Krebs氏による記事を読めば納得する)。
2007年10月,報道メディアがロシアのISPであるRBNを大々的に報じると,RBNの代表者であるTim Jaret氏はその非難された内容を強く否定した。Jaret氏によると,RBNはサービス悪用に対する苦情を調査し,違法行為があれば対処していくという。現在,アトリーボ創業者のEmil Kacperski氏も同じ発言をしている。Kacperski氏は,イメージの向上と悪用報告への対応に鋭意取り組み,必要があれば是正措置を取ると確約した。だが,一部の人々は彼らの言い分を信じてはいない。
一つ確実なことは,いい加減なISPが報告されるたびに,やりたい放題の環境や防衛/偽装手段を求めている無節操な顧客の多くがネットの利用を一時的に止められることだ。前述の通り,こうした顧客の一部はアブダラやアトリーボへ移ったが,既に新たな避難先を探し始めていたとしても驚かない。多くのまともなバックボーン・プロバイダの耳に悪質な広告が届くほど,アトリーボは四面楚歌に陥りやすくなる。少なくとも,セキュリティ面で何らかの効果はある。
複数の研究者がRBN解体とアトリーボおよびディレクティの存在発覚を報告したことで,我々は悪人どもの巣に新たな一撃を加えた。ただ,苦情があっても止められることのない専用サーバーに対価を支払う犯罪者はみな,相変わらず忙しく動き回っている。犯罪ネットワークは名称や管理体制が変わっても生きながらえるのだ。
Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「If RBN is dead, their customers are still alive」でお読みいただけます。
