世界的にみても最大規模のボットネットを操っていた3人の男がスペインで逮捕されたことが3月3日(米国時間)に明らかになった。"マリポーサ"(Mariposa: スペイン語で「蝶」の意味)と呼ばれるこのボットネットを使い、個人情報やクレジット盗難に利用されたPCの台数は1,300万以上にも上り、中には大手金融機関も含まれていたという。

英Reutersの報道によれば、このMariposaを構成するマシンは190カ国以上にも存在し、家庭や政府組織、学校、そして世界トップ1000の大企業の半数以上、そして少なくとも40以上の大手金融機関にわたって被害が拡大していたという。これら調査にあたったのは、カナダのDefense Intelligenceと地元スペインのPanda Security S.L.という2つのITセキュリティ会社で、盗んだ情報をもとに3人の首謀者らが稼いだ金額は明らかにされていない。ボットネット自体は昨年12月23日に閉鎖されたが、1,300万台のPCからマルウェアを取り除くのにかかったコストはおよそ数千万米ドルにも上るという。今回の事件のもととなったマルウェアとボットネットを発見したDefense Intelligence CEOのChris Davis氏は「非常に不快であり、"これを停止して首謀者を排除しないといけない"と考えた」と述べている。

ボットネットとは、ウイルスなどのマルウェアを使ってインターネットに接続されている複数のマシンを影響下に置き、メインのコンソールから自在に情報を取り出したり、必要に応じて他のマシンをDDoS攻撃したり、ウイルス拡散に利用する行為や、これら影響下に置かれたマシン群が構成するネットワークを指してそう呼んでいる。小規模であれば数十から数百の単位に収まるが、場合によっては今回のケースのように5桁や6桁単位の巨大なボットネットも存在する。ボットネット拡散に利用されるマルウェアは頻繁に改良され、"バリアント"と呼ばれる亜種がすぐに出現するため、ボットネットの発見に時間がかかったり、なかなか対策が追いついていないのが現状だ。マリポーサのケースでは、Internet Explorerの脆弱性を利用したほか、USBメモリ経由、IMでリンクを直接送りつけるといった手段で一気にボットネットを拡大していたようだ。

なおPanda Securityによれば、先月になり最初に逮捕されたリーダー格の男は「Netkairo」または「hamlet1917」のニックネームを持ち、残り2人のメンバーはそれぞれ「Ostiator」「Johnyloleante」の名前を持っていたという。このうちの1人は、逮捕容疑として80万人分の個人情報を盗んでいたことが示唆されているという。しかもボットネット化したマシンのうち数百万を他のハッカーらに貸し出していたりすることもあったようだ。