［米国］
「Storm」で作られたボットネットが切り売りされるとの報告

コマンド・トラフィックを暗号化する亜種の存在も明らかに

（2007年10月18日）

　米国セキュアワークスは10月16日、きわめて悪質で撲滅の難しいトロイの木馬「Storm」を操るハッカーらが、このマルウェアによって作られたボットネットの切り分け作業を行っていると発表した。目的は、支配下に置かれたコンピュータをスパムやDoS攻撃を仕掛けるグループに「売り渡す」ことだという。

　同社のシニア・セキュリティ・リサーチャー、ジョー・スチュワート氏は、「ボットの管理者と一部のボット間でコマンド＆コントロールのトラフィックをセキュアにするために暗号化が追加されたのも、それが理由だ」と説明した。今年1月にStormが登場して以来、このワームを追跡調査してきた同氏の話では、最新の亜種のなかにはコマンド・トラフィックを暗号化する40バイトの鍵もあるという。

　ボットを構築する他のトロイの木馬と異なり、Stormはコマンドの受け取りにIRC（Internet Relay Chat）でなくピア・ツー・ピア（P2P）を使う。そのため、ボットの捕獲がいっそう難しくなっているという。

　スチュワート氏は、「個々のボットネットをスパマーに切り売りするとした場合、各ボットネットを個別のネットワークに置けるようにする必要がある。そのための最も簡単な方法は、P2PのOvernetトラフィックをスクランブルすることだ」と指摘した。

　従来のStormは、未感染のPCにこのトロイの木馬をばらまくことと、悪質なスパムを大量に送りつけることに終始していた。「ボットネットが貸し出されたり販売されたりした事例はない」（スチュワート氏）。

　スチュワート氏は、今回の例について「高速のDNS（Domain Name System）やホスティング機能まで完備したエンド・ツー・エンドのスパム・ボットネット・システムとして、ボットネットをスパマーに販売する最初の例と言える。だとすれば、将来Stormがさらに増えることは間違いない」と警鐘を鳴らしている。

　スチュワート氏は、Stormに使われている新たな暗号化について、「特に強力なものではない」と前置きしたうえで、長期的に見て暗号化の追加はセキュリティ研究者にとってむしろ大助かりだと言う。Overnet P2Pトラフィックからコマンド＆コントロールだけを簡単に特定できるからだ。「一見すれば、そのトラフィックがStormノードとeDonkey（P2P）クライアントのどちらから送られてきたのかすぐわかるので、少し楽になる。ただし、短期的には多くのユーザーが危険にさらされるだろう」（同氏）

　Stormは、今年1月、ヨーロッパで実際に甚大な被害をもたらした暴風雨のニュースを騙るメールを通してマルウェアとして認識され、以来、ほとんど毎日のようにメディアに取り上げられてきた。Stormの特徴は、ルートキットを使うこと、検出されないよう次々に変化するDNSレコードを利用していること、ユーザーに添付ファイルを開かせたり、リンクをクリックさせたりするために、一般のマルウェアよりも巧妙なソーシャル・エンジニアリングを駆使していることなどだ。

　Stormが作り上げたボットの規模については意見が分かれている。研究者によっては数百万台に上るという見方もあるが、スチュワート氏はもっと少なく、おそらく25万台程度ではないかと見ている。「MSRC（Microsoft Security Response Center）の報告を見るかぎり、私の推測が妥当なところだろう」（同氏）

　先月、MSRCのジミー・クオ氏は、「Windows Malicious Software Removal Tool」を用いて実施したマルウェア除去作業の結果を解析したところ、Stormは第3位であり、除去した台数は“わずか”27万4,000台にすぎなかったという。

　スチュワート氏は、「スパマーに売られるほとんどのボットネットは1,000～5,000台単位だ」とし、Stormのボットネット全体が膨大な小規模ボットネットに分割される可能性を示唆した。「だが、これまでのところ、1つの暗号鍵が見つかったにすぎず、まずはこれでうまくいくかどうか試そうという腹づもりなのだろう」（同氏）

(グレッグ・カイザー／Computerworldオンライン米国版)