ボットネットのアップデートにTwitter悪用、犯罪者が指令を出すのにiPhoneも

アビ・ローゼン氏

　EMCジャパン株式会社RSA事業本部が29日、報道関係者向けの月例説明会を開催し、トロイの木馬の最新動向を解説した。今回は、RSAのオンライン不正対策指令センター（Anti-Fraud Command Center：AFCC）のトップを務めるアビ・ローゼン氏（オンライン脅威マネージド・サービス部門ディレクター）がイスラエルから来日。ボットネットを運用する犯罪者も、ソーシャルネットワークやスマートフォンを活用していることを紹介した。

　ローゼン氏によると、RSAでは今年に入ってから新たに2500種以上のトロイの木馬の亜種を発見しているが、この数は昨年1年間を通して発見された数と比較して40％増とすでに上回っている。また、トロイの木馬のインフェクションポイント（感染サイト）、トロイの木馬を更新するアップデートポイント、トロイの木馬が盗み取った情報の送信先となるドロップポイント（収集サイト）など、トロイの木馬に関するリソースも6859個所発見しており、こちらも増えているという。新しいトロイの木馬ファミリーや、従来種に追加する新機能もアドオンとして出てきており、今年、トロイの木馬が活性化していると指摘する。

　アップデートポイントについては、ソーシャルネットワークが使われるようになった点が注目されるという。従来は、コマンド＆コントロールポイント（指令サイト）としてサーバーを設置してボットネットのアップデートなどを行っていたのが、現在、FacebookやTwitterを悪用してそれらを行なう動きが見られるとした。

　具体的には、ボットネットの指令者がTwitterのアカウントにログインしてコマンドをツイートとして入力する一方、ボットネットを構成するトロイの木馬はそのアカウントを参照し、コマンドをダウンロードして自身のアップデートを実行するという流れ。こうした目的で使われるTwitterのアカウントおよびパスワードは、アルゴリズムによって、指令者側とトロイの木馬側で同じものを自動生成できるようになっており、1つのアカウントがシャットダウンされても次々と新しいアカウントを無限に作り出せるようになっているという。

　なお、こうしたTwitterアカウントとして、RSAではこれまでに数百アカウントを確認。アルゴリズムのベースとなっている“シードナンバー”を分析済みのものについては、該当するアカウントをブロックするために、RSAから米Twitterに対して情報提供するなど対応を行っているとしている。

　このほか、犯罪者がボットネットをコントロールするのにiPhoneを活用していることが、通信ログのユーザーエージェント情報からわかったとしている。ボットネットのコントロールパネルにiPhoneのウェブブラウザーからログインしたり、ボットネットをコントロールする専用アプリを開発、ジェイルブレイクしたiPhpneにインストールして、モバイル環境から管理しているという。