FBIとエストニア警察が犯罪グループ逮捕、400万台の巨大ボットネットが閉鎖


 トレンドマイクロは10日、400万以上のボットにより構成された巨大ボットネットが、トレンドマイクロを含む業界関係者の協力のもと、米連邦捜査局(FBI)とエストニア警察の捜査により閉鎖されたことを明らかにした。

 FBIが「Operation Ghost Click」と呼んだ作戦では、ニューヨークとシカゴのデータセンターに対して強制捜査が実施され、100台以上のC&Cサーバー(指令サーバー)で形成されていたインフラが閉鎖された。同時にエストニアでは、この犯罪活動に関与していた複数のメンバーがエストニア警察に逮捕された。

 閉鎖されたボットネットは、DNS設定の変更を行うトロイの木馬型の不正プログラム(DNSチェンジャー)を利用し、感染したユーザーを不正なウェブサイトに誘導していた。これにより、ウェブサイト上の広告を不正なものに置き換えたり、検索エンジンの乗っ取りを行ったり、他の不正プログラムに感染させるなど、様々な形で犯罪者たちの有効な金儲けの手段となっていたという。

 今回逮捕された主犯グループは「Rove Digital」という会社で、一見するとこの会社はエストニアのタルトゥ市にオフィスを構えるIT企業のようであったが、その正体はこのオフィスを拠点として、世界規模で感染させた膨大な数のボットをコントロールし、毎年莫大な金銭的利益を不正に得ていたという。

 Rove Digital子会社の「Esthost」は、ウェブホスティングサービスの再販業者を名乗っていたが、2008年にサンフランシスコのプロバイダー「Atrivo」が上位ネットワークによりネットワークアクセスを停止された際に、Esthostも同時にオフラインになった。また同時期、Rove Digitalのドメイン登録会社を名乗っていたEstdomainsも、ICANNによって登録事業者の認定が取り消されている。

 トレンドマイクロでは、Rove Digitalが単に不正プログラムの感染活動を行なうだけでなく、C&Cサーバーや偽DNSサーバーから、DNS改変型ボットネットを駆使したクリック詐欺に使われたインフラまで、手広くコントロールしていた事実を掴んでおり、関連するサーバーを継続して監視してきたと説明。FBI、エストニア警察と、トレンドマイクロやその他業界関係者の連携により、危険かつ巨大なボットネットの閉鎖が実現できたことを嬉しく思うとしている。


関連情報


(三柳 英樹)

2011/11/14 06:00