「ボットネット」を遠隔操作してウイルスメールをばらまくのは、攻撃者の常とう手段として知られている。セキュリティ会社のトレンドマイクロは、ボットネットを構成するウイルス(ボット)を自社の検証用パソコンに感染させ、その挙動を半年にわたって調査した。いわば、ボットネットへの“潜入捜査”だ。その結果、ウイルスに感染した1台のパソコンから、1カ月当たり50種類以上のウイルスメールが25万通程度送られていることが明らかとなった。

今回の調査は“特別”

 ボットネットとは、ウイルス感染パソコンで構成されるネットワークである。C&C(Command & Control)と呼ばれる司令塔のサーバーから攻撃者の命令を受け取り、それに従って動作する。ウイルスメールの送信だけではなく、DDoS攻撃などにも悪用される。オンラインバンキングの認証情報などを盗むウイルス(バンキングトロジャン、オンライン銀行詐欺ツール)やランサムウエア(脅迫ウイルス)で構成されるボットネットもある。

 ボットネットを構成するウイルスにわざと感染し、C&Cサーバーからの命令やウイルスの挙動を調べることは、多くのセキュリティベンダーや研究者などによって10年以上前から実施されている。

 トレンドマイクロでも継続的に実施しているが、2016年10月から2017年3月まで実施した調査では、従来の調査では得られなかったような興味深い結果が得られたという。「半年間という長期にわたる観測に成功し、ボットネットの実態を定量的に示すことができた」(トレンドマイクロ セキュリティエバンジェリストの岡本 勝之氏)。このため同社では、今回の調査結果を公開するとともに、ウイルス感染の危険性を改めて訴えた。

バンキングトロジャンからスパムボットへ

 今回の調査では、1台の調査用パソコンに「BEBLOH(ベブロー)」というバンキングトロジャンを感染させて、その後の状況を観測した。BEBLOHは様々な機能を持つ。このときは、別のウイルスをダウンロードして実行する「ダウンローダー」として動作。攻撃者の配下にある遠隔操作サーバーから、別のダウンローダーである「PUSHDO(プッシュドー)」をダウンロードして実行した。

調査結果の概要
調査結果の概要
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]

 そして「PUSHDO」が、別のウイルスである「CUTWAIL(カットウエイル)」をダウンロードして実行した。CUTWAILは、攻撃者の命令に従ってメールを送信する。こういったウイルスは「スパムボット」とも呼ばれる。メール送信機能を独自に備えているので、パソコンにインストールされているメールクライアントなどの履歴には残らない。

 つまり、最初はバンキングトロジャンを検証用パソコンに感染させたが、最終的にはスパムボットに感染し、ウイルスメールを送信するボットネットに参加することになった。