Rove DigitalとEsthostはDNS Changerと呼ばれる不正プログラムをユーザーのコンピュータに感染させ、DNSの仕組みを不正に利用することでサイバー犯罪を成立させていた。このサイバー犯罪の全貌と首謀者がどのようにして明らかになったのか。
まず、2006年時点でトレンドマイクロは、DNS Changerで構築されたボットネットに関連するC&Cサーバーが「esthost.com」のサブドメインに複数存在することを把握していた。例えば、偽DNSサーバーに関連するIPアドレスがDNS Changerのプログラム内に記述されており、そのホスト先が「dns1.esthost.com」から「dns52.esthost.com」となっていた。1から52までの数字をサブドメイン名に挿入し、52のドメイン名を使用していたことが分かる。
すべての偽DNSサーバーを一斉に更新できるバックエンドのサーバーも「dns-repos.esthost.com」というドメイン名で存在していた。また、Rove Digitalが別のサイバー犯罪に利用していた偽コーデックの不正プログラムで使っていたバックエンドサーバーも「codecsys.esthost.com」に存在していた。
体系立てられた仕組み、示唆的な名前がサブドメイン名に使われていることを考えると、「esthost.com」ドメインが第三者にハッキングされていない限り、このような仕組みを作れるのは限られてくる。Esthostのみがこのような構成をできる、ということである。
2009年にDNS Changerを確認
実際、ドメイン「esthost.com」がダウンした際には、Rove DigitalはC&Cサーバーのトップレベルドメイン(ドメイン名の最後の文字列)に「.intra」を使用し始めた。.intraは一般にプライベートなネットワークで利用するドメイン名である。トレンドマイクロでは米国にあった Rove Digitalのサーバーの一つから完全な.intra のゾーンファイルのダウンロードに成功した(写真1)。
2009年には、二つのC&Cサーバーに関連するハードディスクドライブのコピーも入手したことから、「DNS ChangerによるWebサイト上の広告の置き換え」も確認した。
このハードディスクドライブ内で、Rove Digitalの社員のものとされるSSH(Secure Shell)の公開鍵を複数確認した。この公開鍵とRove Digitalの社員がそれぞれ所有する秘密鍵を使うと、パスワード無しでもC&Cサーバーにログインできる。サーバーから入手できたログファイルを基に、該当のC&CサーバーはRove Digitalがタルトゥ市のオフィスからコントロールしていたことに間違いないと結論付けられた。
