いよいよ、今回はマイクロソフトの「Operation B49」によるWaledacボットネットの遮断について解説する。なお、ここで紹介する内容は、「Microsoft Security Intelligence Report Volume 8.」に詳しく記載されている。特に法的な対応については、原文を合わせて参照していただきたい。

セキュリティベンダーや学術機関と共同で遮断計画を策定

 Waledacは、米国を含む39カ国でTOP 10にランクされたボットネットで、スパムメールの送信、DDoS攻撃、クリック詐欺、感染などの活動を行う。感染した7万~9万台のPCで構成され、一日あたり約15億通のスパムメールを送信していた(図6)。

図6●Waledacの感染状況(2010年4~6月)
図6●Waledacの感染状況(2010年4~6月)
[画像のクリックで拡大表示]

 2009年の10月に、マイクロソフトのDigital Crime Unit(DCU)が主催するDigital Crime Consortium(DCC)と呼ばれるイベントが開催された。ここで、ボットネットの遮断について議論が行われた。

 ここでの議論の結果として、技術的に複雑で対処が困難なボットネットと考えられていたWaledacに対して、遮断に向けた活動を始めた。マイクロソフトは、Trend Micro、iDEFENSE、MMPC(Microsoft Malware Protection Center)などの調査・研究結果を分析し、ワシントン大学、ShadowServer, ウイーン技術大学、ボン技術大学、MMPCとともに実行計画を練った。最終的には、マイクロソフト、ウィーン技術大学、iDEFENSEによって、以下のWaledacボットネット遮断のための技術的な計画が策定された。

  • P2Pによる指揮命令系統の遮断
  • DNS/HTTPによる指揮命令系統の遮断
  • 指揮命令を行う上位2層の遮断

 今回と次回の2回に分けて、これらの具体的対策について説明していこう。