スパムの元凶--活発に活動する10大ボットネット

2010.03.10

　最新のレポートによると、スパムは電子メール全体の95％以上を占めているという。こういった状況を生み出している元凶はボットネットにある。そこで本記事では、われわれの敵であるボットネットのうち、最大のものを10個紹介する。

　本記事を執筆するためのリサーチを行っていた際に見つけた一連のブログ記事（英文：前編、中編、後編）を読み、内容の再考を迫られることになった。スパムを送信しているボットネットのランク付けは、思っていたほど簡単ではないということが分かったのである。上記のブログを執筆しているTerry Zink氏は、以下のような観点を挙げている。

ボットネットを構成するゾンビPCの数
ボットネットが送信する総バイト数
ボットネットが送信する総メッセージ数

　大枠で捉える場合には、こういったことは重要ではないと思われるかもしれない。しかし、IT技術者は詳細に目が行くものなのである。ゾンビPCの数や、送信される総バイト数は極めてストレートな観点だろう。また、送信される総メッセージ数も同様だと思われるはずだ。

　ところが、そうではないのだ。ボットネットはスパムメッセージを作成するだけではなく、数多くのさまざまな宛先にメッセージを送信している。これによって、メッセージ数を計上する際に他の要素を考慮する必要が出てくるわけである。

　混乱してきたって？筆者もそうだ。こういったことすべてが意味を成すよう、筆者はさまざまな特徴を取捨選択し（まったく科学的でないのは、もちろんだ）、以下のリストをまとめ上げた。これらのボットネットはスパム送信のアクティビティが活発なもの順に並べられている。

＃1：Grum（Tedroo）

　Grumはスパムを送信するボットネットの未来の姿を表している。これはカーネルモードで動作するルートキット（関連英文記事）であるため、その検出は困難である。また、Autorunレジストリが使用するファイルに感染するという狡猾さをも備えている。これにより、確実に活動が開始されるわけだ。このボットネットは研究者たちにとって特に興味深い存在となっている。サイズは比較的小さく、ゾンビPCの数は60万台しかない。しかし、1日あたり400億通ものスパムメールを送信しており、これは全スパムメールの約25％に相当する。

　Grumは医薬品関係のスパムに力を入れている。どういった種類のスパムかはお分かりのことだろう。その目的は金銭であるが、それはスパムを送信するほとんどのボットでも、程度の差こそあれ同じはずだ。

＃2：Bobax（Kraken/Oderoor/Hacktool.spammer）

　Bobaxはボットネットハンターを煙に巻いており、Krakenというボットネットと何らかの関係がある。最近になってBobaxの開発者らは、コマンドや制御にかかわるトラフィックをHTTPで行うように変更したため、その遮断や追跡がより困難になっている。

　現在のところ、ゾンビPCの数は10万台しかないものの、1日あたり270億通ものスパムメールを送信している。これは全スパムメールの約15％に相当する。つまり、ゾンビPC1台につき、1分あたり1400通ものスパムメールを送信しているということになるわけである。なお、Bobaxが送信しているスパムの内容は多岐に渡っていることから、賃貸されているものだと考えられている。

＃3：Pushdo（Cutwail/Pandex）

　Pushdoが活動を始めたのは2007年であり、Stormと同じ頃だった。Stormはすっかり過去のものとなっているが、Pushdoはまだ盛んに活動しており、約150万台のゾンビPCから、1日あたり約190億通のスパムメールを送信している。Pushdoはダウンローダであり、被害者のコンピュータにマルウェアをダウンロードさせることでアクセスを得る仕組みとなっている。そしてアクセスを得た後、スパムソフトウェアであるCutwailをダウンロードするわけである。

　Pushdo/Cutwailボットネットは、医薬品やオンラインカジノ、フィッシング詐欺、マルウェアが仕込まれているウェブサイトへのリンクをはじめとして、さまざまな内容のスパムを送信している。

＃4：Rustock（Costrat）

　Rustockもまた、長く活動を続けているボットネットである。Rustockは、2008年にウェブホスティングサービスのプロバイダーであるMcColoがサービス停止を余儀なくされた（関連英文記事）際に絶滅寸前にまで追い込まれた。しかしその後に復活し、現在では約200万台のゾンビPCを有する最大のボットネットとなっている。McColoのサービスが停止される前のRustockの特徴は、膨大な数のスパムを送信した後、数カ月間活動を停止するというものであった。現在のRustockの特徴は、毎日、米国東部標準時間（グリニッジ標準時マイナス5時間）の午前3時から午前7時までの間にのみスパムを送信するというものになっている。

　またRustockは、画像ファイルを用いることで、正当な電子メールニュースレターに偽装することでも知られている。画像スパムは、ほとんどのフィルタリングソフトウェアで検出不能となっている。さらにRustockは、お約束の医薬品関係とTwitterベースのスパムを1日あたり約170億通も送信している。

＃5：Bagle（Beagle/Mitglieder/Lodeight）

　Bagleは、その開発者が勤勉であるという点で興味深いボットネットと言える。2004年以降、Bagleには何度もコードの改修が施されている。この開発者は2年前、Bagleを用いて電子メールアドレスを収集したうえで、そのデータベースを販売することで一儲けしようと思い立った。

　現在のBagleのゾンビPCは、中継プロキシとして動作することでスパムメールを最終の宛先に送り届けている。Bagleが有するゾンビPCの数は約50万台に留まっているものの、毎日140億通ものスパムの送信に荷担している。

＃6：Mega-D（Ozdok）

　Mega-Dは有名である--いや見方によっては悪名高いと言ったほうがよいだろう。FireEyeの研究者らは2009年11月、このボットネットが使用するコマンドと制御用のドメインをボットマスターに先駆けて登録しておくことにより、該当ボットネットを遮断することに成功した（関連英文ブログ）。しかしMega-Dは新たなドメインを生成し続けるように作られているため、ボットマスターは最終的に制御を取り戻すこととなった。

　本記事で紹介している10個のボットネットの中で、ゾンビPCの数が5万台しかないMega-Dは最小である。この数は、1日に送信しているスパムメールの数が110億通であることを考えれば少ないと言えるだろう。とは言うものの、ゾンビPC1台の1分当たりのスパム送信数に目を向けた場合、Mega-DはBobaxに次いで第2位となっている。なお、Mega-Dが送信するスパムメールの内容は、オンライン薬局、そしてもちろん、男性機能増強剤の広告となっている。

＃7：Maazben

　Maazbenが登場したのはごく最近、すなわち2009年6月のことである。にもかかわらず、研究者らはこのボットネットに特別な関心を抱いている。MaazbenはプロキシベースのゾンビPCとテンプレートベースのゾンビPCを使用できる初めてのボットネットである。スパマーは、スパムメールの発信源を隠蔽しておけるため、プロキシベースのゾンビPCを好む傾向にある。しかし、プロキシベースのゾンビPCは、NATデバイスの背後にある場合には機能しないのである。

　Maazbenで用いられているテクニックは有効に動作しているに違いない。このボットネットは、本記事で紹介している10個のボットネットのなかでも最も成長が著しく、ゾンビPCの数は1カ月で5％も増加している。30万台のゾンビPCを有しているMaazbenは、カジノ関連のスパムメールを1日あたり25億通もばらまいている。

＃8：Xarvester（Rlsloup/Pixoliz）

　XarvesterはMcColoのサービス停止後に登場したボットネットである。研究者らは、XarvesterがMcColoのサービス停止時に一部の顧客を引き継いだと考えている。また研究者らはXarvesterと、悪名高いボットネットであるSrizbiの間に数多くの類似点を見出している。なおSrizbiは、McColoのサービス停止によって影響を受けたボットネットの1つである。

　現在のところ、Xarvesterは6万台のゾンビPCを有しており、1日あたり約25億通のスパムメールを送信している。こういったスパムメールには医薬品や、偽の学位証明書、偽ブランドの時計を販売するもの、あるいはロシア関連のものなどがある。

＃9：Donbot（Buzus）

　Donbotというボットネットには、他にはない特色がある。これは、スパムメールに仕込んだ悪意のあるリンクを隠蔽するためにURL短縮を用いる初のボットネットである。これによって、被害者がリンクを誤ってクリックする可能性を増やそうというわけだ。またDonbotは、独立して稼働する複数のネットワークに分かれており、それぞれが異なった種類のスパムを送信していると考えられている。

　Donbotは10万台のゾンビPCを有しており、1日あたり8億通のスパムメールを送信している。またスパムはダイエット薬の販売から、株価操作を目的としたもの、債務の整理相談の案内など、多岐に渡っている。

＃10：Gheg（Tofsee/Mondera）

　最後に紹介するボットネットには3つの際立った点がある。まず1つ目は、このボットネットを用いたスパムメールの85％近くが韓国から送信されているという点だ。2つ目は、Ghegがコマンドや制御にかかわるサーバからのトラフィックを、ポート443上の非標準SSLを用いて暗号化する数少ないボットネットの1つであるという点だ。

　3つ目は、Ghegがスパムメールの送信方法を選択できるという点だ。Ghegは、プロキシを用いた一般的なスパムボットとして動作することもできる。あるいは、スパムメールを被害者が契約しているインターネットプロバイダーのメールサーバに迂回させることもできる。なお、Ghegは6万台のゾンビPCを有しており、主に医薬品関係のスパムメールを1日あたり約4億通送信している。

ボットネットの概況

　SymantecのMessageLabsにおいて数多くのボットネットを監視しているDaren Lewis氏は、驚くべき統計値を提示している。以下はその概要である。

スパムメールの80％は、本記事で挙げた10個のボットネットによって送信されている。
これら10個のボットネットは1日あたり1350億通ものスパムメールを送信している。
500万台のゾンビPCがこういった10個のボットネットの支配下にある。

　どのスパム対策ソフトウェアにおいても、検出されるスパムメールの数が減っていないところを見ると、この状況は今ではさらに悪化していることだろう。

最後に

　これで分かっていただけただろう。筆者は当分の間、スパムメールをフィルタリングするソフトウェアやサービスと縁を切るつもりはない。むしろ逆に、スパムメール対策について調査し続けるだろう。とは言うものの、近い将来に何らかのソリューションが出てくるとは考えていない。

［アップデート］：筆者はたった今、Symantecの調査部門であるMessageLabsから電子メールを受け取った。MessageLabs Intelligence：February 2010というレポートをリリースしたとの連絡であった。同レポートには貴重な情報が満載されているため、そのリンクページとともに、いくつかの重要な点をここで紹介しておきたい。

　このレポートでは、現在のところGrumとRustockが大量のスパムをばらまいており、スパム全体の32％が両者によってもたらされていると指摘されている。以下のグラフ（MessageLabsのご厚意による）は、最も活発に活動している10大ボットネットによって送信されたスパムの数を示したものだ。緑色（Rustock）と紫色（Grum）で示されている部分が大きいということは明らかだろう。

　さらに、注目すべき点が2つある。