【連載】
サイバー・セキュリティ［罪と罰］

第4回ボット犯罪者たちの「罪と罰」

（2008年06月03日）

ボットネットを使う犯罪者たちを捕らえるべく、FBIなどにより決行された「ボット・ローストII（Bot Roast II）」作戦。この作戦で逮捕されたサイバー犯罪者たちの人間性や犯行手口から、この種の犯罪に共通する犯行動機や犯行パターンが浮かび上がってきた。最終回となる今回は、犯罪者たちを分析するべく米国InfoWorldが独自に試みたプロファイリングのデータを披露しよう。

Andrew Brandt
InfoWorld米国版

　FBIやその他の法執行機関は、ボットネットを使う犯罪者たちの逮捕に向け「ボット・ローストII（Bot Roast II）」と呼ばれる作戦を行った。ボットネットとは、トロイの木馬に感染したコンピュータで作られるネットワークのことである（図1）。

図1：ボットネットを使った攻撃の構図

　FBIは、この作戦で捕らえられた8人を2007年11月に公表した。ところが、ボット・ローストII作戦の詳細はおろか、逮捕者らの犯行手口などの詳細は、ほとんど語られなかったのである。

　そこで、InfoWorld米国版がより深く掘り下げることにしたところ、単純な報道資料では表現できないほど犯人たちの動機は多様で、犯罪の性質はより複雑であることが判明した。

　実際、8人の逮捕者たちはさまざまなオンライン犯罪を犯していた。以下、各人の犯行やその動機に迫ってみよう。

アダム・スウィーニー

重罪詐欺およびコンピュータ犯罪で有罪

　ワシントン州タコマのコンピュータ技術者、Sweaney（27歳）は、当初はまじめな青年だったようだ。ネット上の“質疑応答”サイト「Yahoo! Answers」では、彼はワームやマルウェア関連の問題を抱えたユーザーを助けているようにも見えた。だが、ある時点でSweaneyはダーク・サイドに寝返った。彼はトロイの木馬を使ってボットネットを構築し、それを用いて2006年5月から約1年間、スパム・メッセージを他人の代わりに送信していたのだ。

　本件を担当しているある米国連邦検事が提出した裁判書類によると、Sweaneyのねらいは、ボットネット（当人は「プロクシー：代理人などの意」と呼んでいた）をリースして金をもうけることだった。

　これは「ボットハーダー」（ボット飼い）たちの常套手段である。彼はスパマーとボットハーダーが取り引きを行うメッセージ・ボードに広告を載せ、「先月は5,000万通を送信、配信率は87％、料金は500ドル。いつもデータ満載のFTPサーバをフル装備……」などといった投稿でスパミングの腕前を自慢した。

　2006年7月、FBIの覆面捜査官がSweaneyのサービスに興味を抱いたスパマーを装って彼に接触した。Sweaneyは捜査官に20分間ボットネットを自由に使わせたうえで、利用可能なサービスについて説明した。彼は1,800万件分に及ぶHotmailのメール・アドレスを持っており、100万アドレス当たり10ドルで販売していた。捜査官の求めに応じ、Sweaneyはこれらのアドレスと、1,400万件分のYahoo!のメール・アドレス、そして2週間にわたるボットネットへのアクセス権を売って逮捕にとなった。FBIは捜査の過程で、ボットに感染したコンピュータの1つがワシントンDCの司法省反トラスト局のものであることを発見したという。

グレゴリー・キング

「保護されたコンピュータに損害を与えるコードの送信」などの4訴因で起訴

　King（21歳）は、ボットネットを用いて「Killanet」および「Castlecops」両サイトを攻撃したことで起訴された。両サイトの運営者らは、彼の起訴を知って歓喜した。

　Kingは「Silenz」と「GregK」というオンライン上の名前を使い、子どもやティーンエイジャー向けのWebサイトであるKillanetに対する攻撃を2004年6月から2006年10月まで続けた。彼は、同サイトのメッセージ・ボードに、脅迫的な投稿を行ったり、不適切なサイトへのリンクを張ったりしたほか、同サイトのWebサーバを何度も攻撃した。

　報道によると、Kingの動機は彼を侮辱した行為に対する報復だったという。その一連の攻撃により、Killanetは数千ドルに相当する損失を被ったと、同サイトは報じている。

　Kingの犯行はそれほど巧妙ではなく、自分の身元に関するヒントを漏らすことさえあったとされる。彼は自分のボットネットをカリフォルニア州にある両親の自宅や、近くの図書館、ファスト・フード店などからコントロールしていた。

　彼はまた、2007年2月に自分のボットネットを使い、マルウェアやボットネット、スパマーに関する情報センターであるCastlecopsのサーバに対して分散DoS（DDoS）攻撃を5日間連続して行った（画面1）。攻撃の動機は、Castlecopsの職員がメッセージ・ボード上に投稿されたKingの不適切なコメントを削除または修正したことだった。

画面1：Castlecopsのサイト。マルウェアやボットネットなどに関するアラート情報を発信している