オランダの国家犯罪対策局のハイテク犯罪チームは25日、2009年7月以来、少なくとも全世界で3千万台のコンピューターを感染させたとみられる、悪名高い「Bredolab」ボットネットを閉鎖したと発表した。26日には、オランダ当局の要請を受けたアルメニアの警察が、ボットネットの首謀者の一人とみられる男をエレバン国際空港で逮捕した。
それとの関連は不明だが、日本国内の「8080系」サイト改ざん攻撃は停止状態にある。
■毎日36億通のウイルスメールを配信したボットネット
同チームの発表によると、夏の終わり頃、ボットネットのシステムがオランダ最大のホスティングプロバイダー「LeaseWeb」配下のサーバーにあることを発見。同社の協力を得て、悪用されていた143台のサーバーをインターネットから切断した。同チームの調査では、ボットネットは月300万台のコンピューターを感染させることができ、2009年の終わりには、毎日36億通のウイルスメールが配信されたとみられる。
同局では、同ボットネットの感染者に対し、次回のログイン時に感染を知らせる通知を送り、駆除方法をアドバイスするとしている。通知の具体例については、Microsoft Malware Protection Centerのブログに掲載されている。
■「8080攻撃」ただ今停止中
Bredolabは、ウイルスメール、掲示板やブログなどへの不正リンクの投稿、検索結果からの誘導など、さまざまな感染経路をもつ。昨年12月から日本国内で続いている8080系のサイト改ざんで、ばら撒かれているウイルスでもある。
今回閉鎖されたボットネットが、8080系の改ざんに関連するものかどうかは不明だが、今回のLeaseWebのサーバーも多数使われてきた。かつては、大量のドメイン名を投入し頻繁にリンクの差し替えを行っていたが、最近はかなりペースダウンしており、月に1回、ほとんど同じリンク先を埋め込み直す程度だった。
現在、改ざんサイトに埋め込まれている最新のリンク先は、9月半ば過ぎの改ざん/再改ざんの際に差し替えられたものだ。その後は変更されておらず、先月は再改ざんが行われていない。誘導先については、先月半ば頃からIPアドレスが引けたり引けなかったりという不安定な状態が続いており、先週は、IPアドレスが引けてもサーバーにはアクセスできない、今日は全く引けないといった具合だ。これが、今回閉鎖されたボットネットに関連したものなのか、リンク先差し替えの予兆なのかは、今のところ分からない。
(2010/11/01 ネットセキュリティニュース)
【オランダ法務省起訴局の公式発表(英文版)】
・Dutch National Crime Squad announces takedown of dangerous botnet
http://www.om.nl/actueel/nieuws-_en/@154338/dutch_national_crime/
・Wanted botnet mastermind held in Armenia
http://www.om.nl/actueel/nieuws-_en/@154346/wanted_botnet/
【その他】
・Bredolab Takedown, Another Win for Collaboration[英文](Microsoft Malware Protection Center)
http://blogs.technet.com/b/mmpc/archive/2010/10/26/bredolab-takedown-another-win-for-collaboration.aspx
・Bredolabボットネットがシャットダウン(エフセキュアブログ)
http://blog.f-secure.jp/archives/50457352.html
・36億スパム配信の凶悪ボットネットが解体(G DATA)
http://gdata.co.jp/press/archives/2010/10/36.htm