McColo Takedown: Changes in International Spam Distribution and Asprox Botnet Activity」より
November 25,2008 Posted by Ralf Iffert, John Kuhn, and Holly Stewart

 米国カリフォルニアを拠点とする迷惑メール送信業者「マコロ」のインターネット接続がISPに遮断されてから(参照記事),スパムと「Asprox」ボットネットの活動にいくつか大きな変化があった(関連記事:迷惑メールの流通量が75%減,悪質業者に対するネット遮断が奏功)。

 スパムは,全体的に流量が減った(編集部注:その後,マコロが活動を再開し,流量は再度増えた,関連記事)。2008年11月11日(米国時間)にマコロが崩壊してから,当研究所(米IBMの研究開発チーム)のスパム検出量はそれまでの25%程度に減少した。さらに興味深かったのは,スパム送信元(一般的には,スパム・ボットの所在する国を示す)に著しい変化が見られたことだ。

 スパム送信元ランキングでは,長年,米国がワースト1を維持していた。マコロ崩壊の6日前まで,米国はワースト1だった。

 マコロ崩壊後の6日間で,米国発のスパムは従来のわずか14%にまで低下した。6日目に米国がワースト1の座から去ったのは当然の流れだった。

 マコロ崩壊がどれくらい全世界のスパムに影響したのかを詳しく調べたところ,思いがけない国の状況まで大きく変わっていた。例えば,スペイン,インド,イタリア,イスラエル,トルコを送信元とするスパムは,いずれも従来の17%未満まで減少した。以下のグラフで示すように,これよりも少ない割合とはいえ,その他の国にも波紋は広がっている。

 今回の件で,スパム送信用以外のボットネットにも影響が出ているようだ。当研究所のマネージド・セキュリティ・サービス(MSS)は,SQLインジェクション攻撃の動向を絶えず監視しており,マコロが介在していたAsproxボットネットを追跡するための特別なアルゴリズムを備えている。11月13日,AsproxのSQLインジェクション・ソースは,それまでの16%に落ち込んだ。16日には,SQLインジェクション・ソース全体が前週比20%減となった。ただ,11月18日にはAsproxはかつての45%まで盛り返し,11月23日には100%を超えた。面白いことに,この期間中,SQLインジェクション攻撃の件数はほとんど影響を受けず,上昇の一途をたどった。

 SQLインジェクションという点では,マコロに関連する一連の動きは非常に立ち直りが早かったように思える。別のスパム送信手段に切り換える動きを引き続き検証すると同時に,スパムの動きに注目していないISPがさらに接続を遮断した場合はどうなるか,思いを巡らせる必要がある。


Copyrights (C) 2008 IBM, Corp. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,日本IBMの許可を得て,米国のセキュリティ・ラボであるIBM Internet Security Systems X-Forceの研究員が執筆するブログIBM Internet Security Systems Frequency-X Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「McColo Takedown: Changes in International Spam Distribution and Asprox Botnet Activity」でお読みいただけます。