「ボットネットは独自の経済圏を持っているし,Web 2.0が金の稼ぎ方を変えた」--。開催中の「RSA Conference 2007」で,米国のセキュリティ企業FaceTime Communicationsの「ボットネット・ウオッチャー」が講演を行い,ボットネットを利用している「悪人」の行動原理を解説した。
講演をしたのは,「マルウエア・ハンター」のChristopher Boyd氏と,マルウエアに関連する金銭の動きや犯罪組織の戦略を分析しているWayne Porter氏(写真)。彼らは,「SpywareGuide.com」などで,マルウエアに関する情報を発信している。
「2004年の終わりごろから,ボットネットに対する認識が高まっており,メディアでも取り上げられるようになった。しかし,システム管理者は知っているが,エンドユーザーは知らない,といったレベルだ。まだ一般大衆の理解が深まっているとはいえない」とPorter氏は語る。「エンドユーザーのパソコンに忍び込んでいるアドウエアやスパイウエアを取り除くことで,ボットネットの数自体も減らせる。こういった初歩な啓蒙はまだまだ欠かせない」(Porter氏)
ただし,ボットネットも高度化している。Boyd氏は,最近のボットネットの特徴を3つ挙げた。第一点は,ユーザーのパソコンにパッチを当てるようなボットネットが増えてきたこと。一度乗っ取ったパソコンを,他人に使わせないように囲い込んでしまうわけだ。第二点はボットネットの動作が「軽く」なっていること。ユーザーにボットネット感染を気づかせないよう,プロセッサやネットワークに与える負荷を低めにしているのだという。第三点は,複合的な手法を使うボットネットが増えていること。ルートキットを使って自身の存在を隠したり,正常なアプリケーションの通信の「ふり」をしたりして,ユーザーに気づかれにくくしている。
広告詐欺で稼ぐボットネット
Porter氏は「ボットネットが独自の経済圏を作っていることに注意が必要だ」とも語る。ボットネット構築ツールの売買なども行われているし,ボットネット構築ガイドなどが商売にもなっている。またPorter氏は「Web 2.0が,ボットネットの金の稼ぎ方を変えた」と語る。
かつてのボットネットは,商業サイトにDDoS(サービス拒否攻撃)をしかけると脅迫したり,スパム・メールを送信したりして「稼ぐ」ものだった。しかし最近のボットネットは,インターネット広告を狙う傾向があるという。
「狙われているのは,CPA(Click Per Action)やCPC(Click Per Cost),CPM(Cost Per Thousand,クリック1000回(M)ごとにお金を払うタイプの広告)といったインターネット広告であり,これはもう『広告詐欺』というべきものになっている」(Porter氏)。Porter氏は「もし,ボットネットを野放しにしておいたら,広告効果が減少し,電子商取引全体に悪影響を及ぼし,インターネットやWebの信頼性を損なうことになるだろう」と語る。
彼らは現在,ボットネットの問題を解決するために,金銭の流れを追うようにしているという。「ボットネットの背景を判明させ,誰が,どこで,何を考えてやっているのかを分析している」(Porter氏)。ここでBoyd氏が,実際にボットネットの犯人を追い詰めた手法を紹介した。
実例として挙げたのは,「InTeL」というハンドル・ネームの人物が運用していたボットネットを追い詰めたケース。このボットネットは,Pay Palのアカウント情報を盗んだり,メッセンジャーに潜り込んでユーザーに特定のURLをクリックさせようとしたりしていた。
ボットネットを誰が運用しているのかを突き止める際に鍵になったのは,「彼らが公開していたWebサイトに掲載されていた写真のEXIFデータに,ファースト・ネームらしきものが含まれていたこと」(Boyd氏)だったという。そういった情報のほか,被害に遭った企業と協力して,金銭の振込先などを洗い出したところ,最終的に犯人の特定につながったという。
