史上最大規模、Mariposaボットネットの摘発

Discussion in '知識が満載' started by Dororo, Mar 26, 2010.

  1. Dororo

    Dororo Administrator Staff Member

    投稿日時: 2010年03月04日

    * ・Panda Security、カナダのDefence Intelligence、米Georgia Tech Information Security Center、各国のセキュリティ専門家や法的執行機関などから構成されるMariposa Working Group (MWG)の捜査によって、最大規模のボットネットMariposaに関与した疑いのリーダー3名を摘発
    * ・世界190カ国にわたり、1300万近くの(フォーチュン1000の企業の50%にあたる)ユニークIPアドレスに影響を与えた大規模サイバー攻撃によって、個人情報や銀行口座情報などが危険に晒された
    * ・予想される被害総額は数百万ドルにのぼる
    ==========

    2009年5月、Defence Intelligenceは新しいボットネットを発見したと発表しました。それは“Mariposa(スペイン語で「蝶」の意)â€と呼ばれました。記録的な大規模ボットネットの一つになった背後にある犯罪ネットワークを摘発するために、この発見後、数ヶ月に渡る調査が行われました。

    最初のステップでは、Mariposa Working Group (MWG)を結成することが必要で、カナダのDefence Intelligence、米Georgia Tech Information Security Center、Panda Security社、各国のセキュリティ専門家や法的執行機関などから構成されました。目的は、ボットネットを根絶して犯人を裁判にかけるタスクフォースを設定することでした。

    全ての情報を収集した後、主な目的は、ネットワークのコントロールをサイバー犯罪者達から取り上げ、犯人達を特定することでした。コマンドをネットワークに送信していたCommand & Control (C&C)サーバーを突き止め、ボットネットが使っていた活動のタイプを確認することができました。これらの多くは、ボットネットの一部を他の犯罪者達にレンタルしたり、感染させたコンピュータから機密情報を盗んだり、Googleのような検索エンジンの検索結果を改変したり、ポップアップ広告を表示させたりすることで、成り立っていました。

    いずれの場合も、狙いは明らかにボットネットから利益を得ることにありました。Mariposaの背後にいる犯罪集団は、DDPチーム ("Dias de Pesadilla Team" 英語では"Nightmare Days(悪夢のような日々) Team") と名乗っていました。犯罪集団のリーダーとして容疑がかかっていた一人がミスを犯し、我々は彼を特定することができました。

    彼らは常に、匿名VPN (Virtual Private Network)サーバーからMariposaのコントロールサーバーに接続しており、本当のIPアドレスを特定されることを防いでいたので、この活動の背後にいる犯罪者達を突き止めることは非常に複雑になっていました。

    2009年の12月23日、国際的に連携して活動していたMariposa Working Groupが、Mariposaをコントロールすることを可能にしました。Netkairoと名乗る犯罪集団のリーダーは、動揺したと見えて、なんとしてもボットネットのコントロールを取り戻そうとしました。Mariposa C&Cサーバーに接続するには、犯罪者達は自分の足跡を隠すために匿名VPNサーバーを使っていたと述べましたが、この時はボットネットのコントロールを獲得しようとして、Netkairoは致命的なエラーを行いました。彼はVPNを使わず自分の家のコンピュータから直接接続したのです。

    Netkairoは、ついにMariposaのコントロールを取り戻し、彼の支配下にある全てのボットを使ってDefence Intelligenceに対してDoS攻撃を開始しました。この攻撃はISPに深刻な影響を与え、いくつかのカナダの大学や政府機関を含む多くのクライアントが数時間インターネットに接続できない状態になりました。

    再度、Mariposa Working Groupは、DDPチームがMariposaへアクセスすることを防ぐことができました。我々がDNSレコードを書き換えたので、ボットはC& Cサーバーへ接続して指示を受けることができず、その瞬間、我々はどれくらいのボットがレポートを行っているかを正確に確認することができました。我々は、1200万以上のIPアドレスがC&Cサーバーに接続され情報を送信されていることを知って衝撃を受けました。Mariposaは史上最大のボットネットの一つになっていました。

    2010年2月3日、スペインの公安当局はNetkairoを逮捕しました。この31歳のスペイン人逮捕の後、警察は別の二人のスペイン人メンバーの逮捕に至ったコンピュータなどを押収しました(J.P.R., 30歳, 別名“jonyloleanteâ€と、J.B.R., 25歳, 別名 “ostiatorâ€)。二人とも2010年2月24日に逮捕されました。

    Mariposaによる被害はホームユーザー、企業、政府機関、大学など190カ国以上に及びました。Defence IntelligenceのCEOであるChristopher Davis氏は、これらの感染の大きさについて次のように表現しています。「危険にさらされなかったフォーチュン1000の企業リストを提供するほうが、これらの長いリストを作るよりも簡単だ。」

    盗まれた情報は、銀行口座の情報、クレジットカード番号、ユーザー名、パスワードなどが含まれます。DDPチームのメンバーであるNetkairoの逮捕時に押収されたコンピュータ関連の品には、80万人以上のユーザーに関する盗まれたデータが含まれていました。調査はまだ進行中ですが、詐欺行為による損失、金銭の盗難、データの損失、クリーンアップにかかるコストについて、現段階での計算でも既に数百万ドルの損失が予想されています。

    警察によるNetkairoのハードディスクの分析により、コントロールサーバーとして使うサーバーのハッキング、ボットがアンチウイルスに検出されないようにする暗号化、ボットネットを管理するための匿名VPN接続などの各種サービスの提供元ネットワークの複雑さを明らかにしました。

    さらに似たようなネットワークのクライアントも存在しており、ボットネットの一部をレンタルしたり、盗んだクレジットカード情報を転売したり、ツールバーのインストール費用などで稼いでいます。さらに犯罪集団は、直接銀行口座を盗み、米国やカナダで"money mules(裏送金係)"を使い、オンラインポーカーゲームで不正な金を得ています。

    Pandaは、他の活動の合間にボットのサンプルへのアクセスを提供するため、他のITセキュリティ企業にコンタクトし、そして全てのボットを検出することができました。もしあなたがボットに感染させられているかどうか知りたければ、あなたのコンピュータを、信頼できる最新版のアンチウイルス製品でスキャンしてみて下さい。

    Mariposaボットネットソフトウェアの簡単な説明はこちら(英語)

    http://www.ps-japan.co.jp/pressrelease/n87.html
     

Share This Page