［欧州］
スパムボット「Srizbi」の新しい“隠れ家”を摘発、エストニアのISPがサーバを遮断

悪名高きボットネットの新たなホスティング先にメス

（2008年11月28日）

　ボットネットSrizbiによる被害を食い止めるため、その運営サイトをホスティングする“ISP（Internet Service Provider）探し”が世界的に繰り広げられている。そんななか、エストニアのあるISPが、同社がホスティングしていたSrizbiの制御サーバをすべて遮断したことが関係筋から明らかになった。これらのサーバは、これまで大量のスパム・メールを発信していたと見られている。

　米国のセキュリティ・ベンダーFireEyeの研究員によると、そのISPはエストニアの首都タリンを本拠とするStarline Web Servicesで、Srizbiの制御ポイントとして特定された4つのドメインをホスティングしていたという。

エストニアのコンピュータ緊急対応チーム（CERT）のWebサイト

　エストニアのコンピュータ緊急対応チーム（CERT）のCSO（最高セキュリティ責任者）、ヒラー・アーレライド（Hillar Aarelaid）氏は11月27日、「これらのサイトが閉鎖されたことに満足している」と語った。

　今回Starline Web Servicesに直接話を聞くことはできなかったが、アーレライド氏によると、同社はCERTと緊密に連絡を取り合っており、不法行為についての訴えにもきちんと対応しているようだ。

　Starline Web Servicesは、同じくエストニアにあるISPのCompicから回線を購入している。CERTの情報セキュリティ専門技術者タルモ・ランデル（Tarmo Randel）氏は、「Compicは、マルウェアをホスティングする複数のWebサイトを抱えていることで以前から目を付けていた」と語った。

　ランデル氏によると、これまでCERTはCompicに対しマルウェアに関する警告を再三行っており、現在はCompic側もCERTの警告に素早く対応するようになってきているという。一方、Compicの上位サービス・プロバイダーであるLinxtelecomは、同社に寄せられる不正行為に関するクレームの実に99％がCompicに関係するものだとしている。

　今回問題となったSrizbiは、最も強力なボットネットの1つと見られている（関連記事）。世界中のスパム・メールのおよそ半数が、Srizbiに感染したコンピュータ（少なくとも45万台）から発信されているという。PCに侵入したSrizbiは、ドメイン内にある制御サーバから指令を受けるようプログラムされている。

　しかし、Srizbiの制御サーバをホスティングしていた米国のISP、McColoが、11月11日に上位サービス・プロバイダーによってインターネットから遮断されたため、スパマーたちはSrizbiを制御できなくなった（関連記事）。

　Srizbiのコードにはフォールバック・メカニズムが組み込まれており、制御サーバが遮断されてもPCとの接続を復活させることができるようになってはいる。だが、その場合でも、サーバをホスティングする新たなISPを見つけなければならない。つまり、McColoがインターネットから締め出された後に、居場所を失ったスパマーたちが目を付けたのが、エストニアの小さなISPであるStarline Web Servicesだったわけである。

　昨今のサイバー犯罪者は、国境をまたいで活動しており、取り締まるのが難しい。しかし、McColoや今年9月末に上位サービス・プロバイダーから接続を遮断されたIntercage（同社はAtrivoという社名でも事業を展開していた）のような不正行為に関与しているISPに対するインターネット・コミュニティからの批判の声は、日に日に高まっている。

　米国のセキュリティ・ベンダーMcAfeeの研究所でセキュリティ・ストラテジストを務めるトラレフ・ディロ（Toralv Dirro）氏は、「McColoやIntercageの事例により、悪徳なISPに対して、『早急に対策を講じないと、インターネットから遮断する』といった圧力をかけやすくなった」と語っている。

(Jeremy Kirk／IDG News Serviceロンドン支局)