遮断したRustockボットネットの後継は ? －シマンテックレポート

シマンテックでは、これまでスパム&フィッシングレポートとしてインターネットの脅威を分析・レポートを行ってきた。6月からは、シマンテックドットクラウドのメッセージラボインテリジェンスレポートを統合し、シマンテックインテリジェンスレポートとして、発表することになった。今月は、2011年3月に遮断されたRustockボットネットのその後の動向の分析を中心に紹介する。

6月のスパム分析

2011年3月に、Microsoft主導による対策が行われ、当時最大級のスパム送信ボットネットとして活発な活動を続けていたRustockが遮断された。その後、Rustockはほとんど活動を停止し、スパムの送信はほとんど観測されていない。図1は、この1年の世界におけるスパム送信量の変化を示したものである。1日あたりのスパム送信量は、一定してはいないが、以前の水準以下となっている。

また、6月の世界のメールトラフィック全体におけるスパムの割合は72.9%となり、2011年4月の水準まで低下した(図2)。このうち、76.6%がボットネットから送信されたもので、その割合は、2011年3月の83.1%から減少し、2010年末と同程度の水準まで下がっている。しかし、1日あたり、およそ392億通のスパムメールが流通しており、スパムが大きな問題であることに変わりはない。

シマンテックでは、スパム量全体の減少やボットネットからの送信比率の低下はあるものの、ボットネット自体の危険性は、現在も存在していると警告する。スパマーがいなくなったわけでないのである。具体的には、分散型サービス拒否(DDoS)攻撃、無関係なWebサイトを悪用したクリック詐欺による不正利得、感染PC(ボット)上での不正Webサイト コンテンツのホスティング、感染したPCからの個人情報の収集、ユーザーの動向をオンラインで追跡するためのスパイウェアのインストールなど、さまざまな用途にボットネットが暗躍している。

Rustockの後を引き継いだのはどこか

当初、Rustockの後継は、Bagleと推察されていた。理由は、Rustockを発信源としていたスパムの大半は医薬品スパムで、Bagleのスパムもほとんどが医薬品に関連していたからである。しかし、シマンテックでは、RustockとBagleを発信源とする2011年3月以降のスパムの分析結果から、BagleはRustockの後継ではないとした。その理由として、この2つのボットネットが流通させたスパムに関連性がなく、逆に2つの活動パターンは、大きく異なるものであったとのことである。

その一方で、GrumがかつてのRustockの活動の一部を引き継いだ可能性が極めて高いと分析する。この2つのボットネットが明らかに関連しているスパム攻撃が複数発見され、少なくともスパムメールの「件名」と「送信者」のドメインには関連性が見られる。また、Grumが突然、使用文字セットをISO-8859-1からRustockが使用していたUTF-8に変更した。このような変更は、非常にめずらしく、Rustockが遮断されたわずか数時間後の3月10日から17日の間に行われており、Rustockの遮断と無関係とはいえないとのことだ。

図3を見ると、6月現在でもっとも大きな勢力を持っているのは、Cutwailであることがわかる。Cutwailは、以前からボットネットとして活動を継続しており、最近活動を活発化させているBredolabマルウェアファミリーを中心に、マルウェアを含んだメールを大量送信している。一方、今年4月末からBagleの活動が急速に低下している理由は不明とのことである。6月における活動の活発なボットネットを一覧にしたのが表1である。

表1 2011年6月の最も活発なスパム送信ボットネット

ボットネット	スパムの割合	1日あたりのスパム数	1分あたりのスパム数	1ボット1分あたりのスパム数	ボットネット規模	感染源の国
Cutwail	16.1%	9,609,745,048	6,673,434	77	800k～1200k	インド(10%)、ロシア(9%)、ブラジル(8%)
Xarvester	6.7%	4,002,042,186	2,779,196	455	57k～86k	英国(18%)、フランス(13%)、イタリア(9%)
Maazben	3.1%	1,872,408,382	1,300,284	14	520k～780k	韓国(14%)、ロシア(10%)、インド(10%)
Lethic	3.1%	1,824,416,511	1,266,956	45	230k～340k	韓国(25%)、ロシア(15%)、ウクライナ(7%)
Grum	3%	1,801,605,428	1,251,115	140	200k～290k	ロシア(14%)、インド(14%)、ウクライナ(8%)
Bagle	2.7%	1,599,896,533	1,111,039	58	140k～200k	インド(15%)、ロシア(1%)、アルゼンチン(8%
Fivetoone	2.3%	1,400,401,724	972,501	98	94k～140k	ベトナム(20%)、ブラジル(12%)、インドネシア(11%)
Festi	1.2%	691,992,804	480,551	166	25k～37k	インド(10%)、ベトナム(10%)、ブラジル(9%)
Bobax	0.4%	254,229,254	176,548	24	80k～120k	ウクライナ(27%)、インド(18%)、ロシア(18%)
DarkMailer	0.5%	42,575,225	29,566	351	1k～1.5k	フランス(27%)、米国(16%)、ドイツ(13%)
Other, smaller Botnets	0.5%	22,277,510	15,470	321	62k～95k	-
Unnamed Botnets	36.9%	21,962,912,697	15,252,023	196	660k～990k	-
Total Botnet Spam	76.6%	45,084,503,302	31,308,683	162	-	-
Non-botnet spam	23.4%	3,411,165,479	2,368,865	-	-	-
Grand Total	-	48,495,668,780	33,677,548	-	-	-

長期にわたって活動を続けているボットネットの1つであるXarvesterも、Rustock停止以降、送信量を増加させている。Xarvesterは、これまで長い間、比較的目立たない存在であったが、ここにきて活動を活発化させ、6月には、ボットネットの中で2番目に多いスパムを送信している。表2は、スパムの発信地域である。

表2 2011年6月のスパム送信ボットネットの地域分布

国名	スパムの割合
韓国	11.2%
ロシア	11.1%
インド	8.7%
ウクライナ	6.1%
ブラジル	5.3%
ベトナム	2.9%
米国	2.8%
英国	2.4%
台湾	2.4%
ルーマニア	2.3%

Rustockの停止に伴って、スパムの発信地域にも変化が見られる。米国から送信されるスパムが、1年前の10.7%から2.8%以下と大幅に低下している。Rustockの大半の「ボット」が、米国内に存在していたことがその理由と推察される。逆に大きく増加したのが、韓国で、1年前は約3%程度に過ぎなかったスパム送信量が今や11%を超えている。韓国内に強力な拠点を持つMaazbenとLethicの2つのボットネットからの送信量が増加していることが、その主な理由である。東欧地域からのスパム送信量は、依然として高い水準で一定しており、その中でもロシアとウクライナは、スパムの最多発信国となっている。さらに注目したいのは、最近スパム送信量が増加しているXarvesterである。Xarvesterでは、感染したPCのほとんどすべての所在地が、英国やフランスを始めとする西欧諸国内となっている。

日本を悩ます募金詐欺

3月11日の東日本大震災で、日本は甚大な被害を受けた。サイバー犯罪者らは、この機会を見逃さず、エンドユーザーを引き寄せるための偽の寄付金サイトを立ち上げている。偽の寄付金キャンペーンで、サイバー犯罪者は慈善団体や銀行のWebサイトになりすまして、詐欺行為を行う。6月に実際にあった例では、利用者の多いクレジット決済代行サイトのドイツ語サイトになりすまし、偽のサイトでユーザのログイン認証情報を盗み出そうとしていた。このWebページには、ドイツ語で「日本はあなたの支援を求めています。被災者のための義援金活動にご協力ください。今すぐ募金をお願いします」というメッセージが掲載されていた。メッセージの横には、原子力発電所近くにある福島市と、日本の首都である東京の地図が貼られていた。さらに、この地図には、太平洋沿岸海底の震源地も表示されていた。

ログイン情報を入力すると、ユーザーは、正規のWebサイトにリダイレクトされ、ログイン情報を盗み取られたことに気がつかないまま、そこで引き続き寄付の手続きを行うことになる。この偽サイトで入力を求められるのは、クレジット決済サイトのログイン認証情報などだ。サイバー犯罪者は、このフィッシングサイトで入手した個人情報を闇市場で販売し、金銭を得ている。このフィッシング攻撃は、単一のIPアドレスを利用したWebサイト生成ツールによって実行されており、4つの異なるドメイン名が使用され、管理ホストはフランス国内に置かれていた。