いよいよ、今回はマイクロソフトの「Operation B49」によるWaledacボットネットの遮断について解説する。なお、ここで紹介する内容は、「Microsoft Security Intelligence Report Volume 8.」に詳しく記載されている。特に法的な対応については、原文を合わせて参照していただきたい。
セキュリティベンダーや学術機関と共同で遮断計画を策定
Waledacは、米国を含む39カ国でTOP 10にランクされたボットネットで、スパムメールの送信、DDoS攻撃、クリック詐欺、感染などの活動を行う。感染した7万~9万台のPCで構成され、一日あたり約15億通のスパムメールを送信していた(図6)。
2009年の10月に、マイクロソフトのDigital Crime Unit(DCU)が主催するDigital Crime Consortium(DCC)と呼ばれるイベントが開催された。ここで、ボットネットの遮断について議論が行われた。
ここでの議論の結果として、技術的に複雑で対処が困難なボットネットと考えられていたWaledacに対して、遮断に向けた活動を始めた。マイクロソフトは、Trend Micro、iDEFENSE、MMPC(Microsoft Malware Protection Center)などの調査・研究結果を分析し、ワシントン大学、ShadowServer, ウイーン技術大学、ボン技術大学、MMPCとともに実行計画を練った。最終的には、マイクロソフト、ウィーン技術大学、iDEFENSEによって、以下のWaledacボットネット遮断のための技術的な計画が策定された。
- P2Pによる指揮命令系統の遮断
- DNS/HTTPによる指揮命令系統の遮断
- 指揮命令を行う上位2層の遮断
今回と次回の2回に分けて、これらの具体的対策について説明していこう。