［世界］
大規模ボットネット閉鎖から2週間、スパム量は低レベルで推移

代替スパムボットが活動を活発化との見方も

（2008年11月26日）

　あるISP（Internet Service Provider）のインターネット接続が遮断され、世界中でスパム・メールの量が急減してから2週間が経過した。今のところ、同ISPのサーバで活動していたスパム発信ボットネット（スパムボット）に復活の兆しは見られないが、他のサーバのスパムボットが活動を活発化させているとの見方もある。

　きわめて多種多様なサイバー犯罪活動のホスティングを行っていた米国McColoのインターネット接続が遮断されたのは11月11日のこと。以降、スパム・メールの量が世界規模で急減し、ピーク時の4分の1近くまで減少した。世界最大級のスパムボットがMcColo運営のサーバで制御されていたことから、接続遮断でスパム量が激減したと見られている（関連記事）。

　しかし、遮断から2週間経った現在でも、スパマーが活動を再開しているのかどうかははっきりしていない。

　米国Cisco Systems傘下のセキュリティ企業、IronPort Systemsは11月25日、スパム量は相変わらず低いレベルにとどまっているとの見解を明らかにした。同社によると、25日時点のスパム流通量は約727億件で、11月11日の1,530億件の半分以下である。ただし、11月13日（McColo遮断の2日後）の641億件に比べると増加している。

　この小幅な増加について、IronPortのシニア・プロダクト・マネジャー、ニック・エドワーズ（Nick Edwards）氏は、25日付けの電子メールで次のように述べている。「McColo遮断直後と比べると、スパム量に小さなピークがいくつか見られるようになった。スパマーたちは現在、他のスパムボットをいろいろと試している最中だと思われる」

　ただし、今のところ、代替スパムボット探しは不調に終わっているというのがエドワーズ氏の見方だ。スパム量の大幅ダウンがいまだに続いているからである。「先週の金曜日（11月21日）と土曜日（22日）にスパム量の一時的増加が見られたものの、McColo遮断前には遠く及ばないレベルだった。スパマーたちは効率的に使える賃貸スパムボットを見つけるのに苦労しているようだ」（エドワーズ氏）

　だが、IronPortのエドワーズ氏とは違う見方をするセキュリティ研究者もいる。米国Symantec傘下のMessageLabsでシニア・アンチスパム・テクノロジストを務めるマット・サージェント（Matt Sergeant）氏である。サージェント氏によると、現在のスパム量はMcColo遮断前の約3分の2まで回復した。25日にようやく、そのレベルまで一気に戻ったという。

　サージェント氏は、McColo遮断とスパム量回復までの間にタイムラグが生じることは不思議ではないとしている。また同氏は、スパム発信を活発化させている代替スパムボットの存在を指摘する。

　「新しい制御サーバを見つけたAsproxボットとRustockボットは、猛烈な勢いで大量のスパムを発信している。どうやら、稼働し続けていたCutwaiボットのオーナーが暗躍しているようだ。Mega-Dボットからの発信量も再び上昇している」（サージェント氏）

　もっとも、McColoのサーバにホスティングされていたSrizbiスパムボットに活動再開の気配がまったく見られないとするエドワーズ氏の見解に対しては、サージェント氏も同意する。「一時は全スパムの50％を発信していたこともあるSrizbiが、現時点ではほとんど活動していない。このボットネットなくしては、スパム量は従来のレベルには戻らないだろう」と同氏は話す。

　Srizbiは世界最大級のスパムボットで、「Mailer Reactor」とも呼ばれていた（関連記事）。米国SecureWorksのボットネット研究者であるジョー・スチュアート（Joe Stewart）氏の推計によると、今年4月の時点で、Srizbiスパムボットは31万5,000台の感染PCから構成されていた。McColoの遮断により、それらの感染PCがスパマー集団から切り離されたと同氏はみている。