スパムボット「Srizbi」の新しい“隠れ家”を摘発、エストニアのISPがサーバを遮断
悪名高きボットネットの新たなホスティング先にメスボットネットSrizbiによる被害を食い止めるため、その運営サイトをホスティングする“ISP(Internet Service Provider)探し”が世界的に繰り広げられている。そんななか、エストニアのあるISPが、同社がホスティングしていたSrizbiの制御サーバをすべて遮断したことが関係筋から明らかになった。これらのサーバは、これまで大量のスパム・メールを発信していたと見られている。
米国のセキュリティ・ベンダーFireEyeの研究員によると、そのISPはエストニアの首都タリンを本拠とするStarline Web Servicesで、Srizbiの制御ポイントとして特定された4つのドメインをホスティングしていたという。
エストニアのコンピュータ緊急対応チーム(CERT)のCSO(最高セキュリティ責任者)、ヒラー・アーレライド(Hillar Aarelaid)氏は11月27日、「これらのサイトが閉鎖されたことに満足している」と語った。
今回Starline Web Servicesに直接話を聞くことはできなかったが、アーレライド氏によると、同社はCERTと緊密に連絡を取り合っており、不法行為についての訴えにもきちんと対応しているようだ。
Starline Web Servicesは、同じくエストニアにあるISPのCompicから回線を購入している。CERTの情報セキュリティ専門技術者タルモ・ランデル(Tarmo Randel)氏は、「Compicは、マルウェアをホスティングする複数のWebサイトを抱えていることで以前から目を付けていた」と語った。
ランデル氏によると、これまでCERTはCompicに対しマルウェアに関する警告を再三行っており、現在はCompic側もCERTの警告に素早く対応するようになってきているという。一方、Compicの上位サービス・プロバイダーであるLinxtelecomは、同社に寄せられる不正行為に関するクレームの実に99%がCompicに関係するものだとしている。
今回問題となったSrizbiは、最も強力なボットネットの1つと見られている(関連記事)。世界中のスパム・メールのおよそ半数が、Srizbiに感染したコンピュータ(少なくとも45万台)から発信されているという。PCに侵入したSrizbiは、ドメイン内にある制御サーバから指令を受けるようプログラムされている。
しかし、Srizbiの制御サーバをホスティングしていた米国のISP、McColoが、11月11日に上位サービス・プロバイダーによってインターネットから遮断されたため、スパマーたちはSrizbiを制御できなくなった(関連記事)。
Srizbiのコードにはフォールバック・メカニズムが組み込まれており、制御サーバが遮断されてもPCとの接続を復活させることができるようになってはいる。だが、その場合でも、サーバをホスティングする新たなISPを見つけなければならない。つまり、McColoがインターネットから締め出された後に、居場所を失ったスパマーたちが目を付けたのが、エストニアの小さなISPであるStarline Web Servicesだったわけである。
昨今のサイバー犯罪者は、国境をまたいで活動しており、取り締まるのが難しい。しかし、McColoや今年9月末に上位サービス・プロバイダーから接続を遮断されたIntercage(同社はAtrivoという社名でも事業を展開していた)のような不正行為に関与しているISPに対するインターネット・コミュニティからの批判の声は、日に日に高まっている。
米国のセキュリティ・ベンダーMcAfeeの研究所でセキュリティ・ストラテジストを務めるトラレフ・ディロ(Toralv Dirro)氏は、「McColoやIntercageの事例により、悪徳なISPに対して、『早急に対策を講じないと、インターネットから遮断する』といった圧力をかけやすくなった」と語っている。
(Jeremy Kirk/IDG News Serviceロンドン支局)
