検索
特集/連載

1400万ドルを荒稼ぎ、FBIが摘発した大規模サイバー犯罪の手口過去最大規模、400万台のボットネットを悪用

攻撃者によって乗っ取られたコンピュータの集合体である「ボットネット」。400万台規模のボットネットを使って1400万ドルを不正に得たサイバー犯罪の実態を解説する。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 米連邦捜査局(FBI)はエストニアの当局と連携して過去最大規模となる「ボットネット」を摘発、エストニア人6人を逮捕した。ボットネットとは、攻撃者によって乗っ取られた多数のコンピュータで構成するネットワークのことである(ボットネットについては「IPレピュテーションはスパムの抜本対策となり得るか」も参照)。FBIや捜査に協力したトレンドマイクロによると、この犯罪集団はインターネット広告の不正クリックで、5年間に1400万ドル以上の収益を稼ぎ出していたという。

 2011年11月、FBIとエストニア国家警察が共同で実施したボットネット閉鎖作戦「ゴーストクリック作戦」は、ボットネットの制御に使われていた米ニューヨークとシカゴのデータセンターを閉鎖。エストニアのタルトゥで活動に関与していたとされる容疑者を逮捕するという結果を残した。

 1400万ドルもの不正な収益を稼ぎ出した犯罪者の手口とは、一体いかなるものだったのだろうか。

 犯行に関与したのは、エストニアのWebホスティング企業であるRove Digitalだ。「DNS Changer」というトロイの木馬を使い、感染したコンピュータのDNS設定を書き換えて、エストニア国外のIPアドレスを参照させるという大胆な手口が用いられていた。Rove Digitalは1万4000個もの不正ドメインを管理していたとされる。

 DNS Changerに感染したマシンで構成するボットネットは、Webサイトにある正規の広告を犯罪集団の広告にすり替えるために利用されていた。クリック課金型の広告に対するクリック数を不正に増やして広告掲載料を得るのが狙いだ。FBIによると、DNS Changerは世界中の400万台のコンピュータに感染。そのうちの50万台は米国内での感染だった。

 トレンドマイクロの研究者であるポール・ファーガソン氏は「DNS Changerは従来のウイルス対策ソフトを使って削除できる。だが問題は、削除しただけではDNS設定を本来の状態に戻せないことだ」と指摘。問題解決にはインターネットサービスプロバイダー(ISP)の協力が必要になるケースもあるという。FBIのWebサイトは、DNS Changerの感染を検出するツールを提供している。

 ファーガソン氏によると、トレンドマイクロは2006年にDNS Changer感染の痕跡をつんで捜査当局に通報した。攻撃元をたどると、数百万台の感染マシンを操って不正広告の掲載サイトにリダイレクトしていたエストニアの企業、Rove Digitalが浮上したという。トレンドマイクロの2011年11月9日付のブログによると、Rove Digitalは複数の不正なペーパーカンパニーを傘下に持っていたという。その中に含まれるEsthostは、米サンフランシスコのISPである「Atrivo」がサイバー犯罪に絡んでいるとして2008年に閉鎖されたのと同時に運営を停止した会社だ。同時期に、Rove Digitalは米国をはじめ世界各地にボットネットの制御用インフラを拡散させていた。

 ファーガソン氏は次のように説明する。「Rove Digitalは非常に抜け目がなく、多大な利益を上げていた。銀行口座の情報を盗んだり不正送金をするといった大掛かりな犯罪ではなく、単なる広告のすり替えによって収益を上げていたため、捜査の網には掛からないと考えていた」

 何年も続いた捜査活動は、6人のエストニア人の逮捕で実を結んだ。FBIによると、米国はこの6人の引き渡しを求める意向だ。ニューヨークとシカゴの家宅捜索により、不正なDNSサーバは押収された。

 「FBIはエストニアに向かい、エストニアの国家警察と共同で犯罪者の逮捕を実現した。連携態勢は徹底していた。こうした国境を越えた犯罪の摘発は、徐々にではあるが成功例が現れつつある。今回の逮捕は、『東欧のような米国外にもFBIの捜査の手が伸びる可能性がある』と犯罪者集団に思い知らせる効果があるだろう」とファーガソン氏は期待を示す。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る