2016.12.13

巨大ボットネットインフラ「アバランチ」の解体に伴う、安全確認の方法

この記事をシェア

ついに世界最大規模のボットネットインフラ「アバランチ」が、多くの組織（ESETや各国警察など）の協力の下で崩壊に追いやられた。とはいえ、すでに感染など影響を被っているにもかかわらず気付かれていない機器が数多くあることが判明している。そこで以下では、その確認方法についても説明する。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

「アバランチ」（Avalanche、英語で「雪崩」を意味する）とは、サイバー犯罪者の間では、IPアドレスとDNSサーバーを次々に変えることによって、フィッシング詐欺やマルウェアなどを仕掛けた不正サイトを警察当局やセキュリティベンダーから隠せる「ファストフラックス」という仕組みを提供する、強力なボットネットインフラに付けられた名称である。

2016年12月に至るまでの数年間、犯罪者たちはこのネットワークを使うことによって、ドメインがブラックリストに登録されずにボットネットを活用し続けることができた。しかし2016年11月末、世界各国の警察機関やセキュリティベンダー、そしてセキュリティ専門家の協力によって、このアバランチに警察当局の手が入り、12月1日、このネットワークの主要部分の解体に成功した（詳細はいずれ各国の警察側からの発表があることだろう）。

だが、これで全てが収まったわけではない。まだ、これからやらねばならない重要な課題が残されている。アバランチによってもたらされた影響の余波を取り除く、というものだ。ESETはこの取り組みへの支援を要請されたため、その結果、「ESETオンラインスキャナー」を無料提供することとなった（もちろん、ESET製品を使用していないユーザーでも利用できる）。このツールを使えば、こうしたファストフラックスのネットワークによって拡散された（または利用された）マルウェアのファミリーを検出し除去できる。
これまでESETは、常に警察当局と連携をとってサイバー犯罪に立ち向かってきた。何よりも、大きな目標の一つである「インターネットをより安全にする」ことを目指しているからである。そうしたこれまでの経験によれば、アバランチのようなインフラを使用できなくすることは、犯罪者の収益性を低下させるばかりか、逮捕にさえ至ることもあり、インターネットの安全を維持する上で最も効果的な方法の一つであると考えられる。

ここに至るまで、かなり多くの時間と労力を要してきたが、アバランチを解体させる「作戦」が成功し、実際に解体されたことで、これまで水面下で行ってきたことを広く告知できる日がやってきたことは、大変に意義深い。近年では、「ドークボット」（Dorkbot）や「マンブルハード」（Mumblehard）に対する取り組みもそうであったが、ESETは各国の警察当局や専門家と協力し合い、インターネットに大きな害をもたらしている問題点を根本から突き止めることに、これからも力を入れていくつもりである。

ファストフラックスのネットワークとは

ところで、アバランチグループが運営していたファストフラックスのネットワークは、「DNSとボットネットを組み合わせた技術であり、ドメイン名が特定されそうになると、絶えずIPアドレスを変え続けることによって、サイバー犯罪者がフィッシング詐欺を行ったりマルウェア感染させようとして用意したサイトを隠蔽したりできる」と定義されている。

「ワウチョス」（Win32 / Wauchos）、別名アンドロメダ（Andromeda）というマルウェアの場合で説明してみると、サイバー犯罪者がワウチョスによってボット化したマシンに指令を送るC＆Cサーバーの一部がこうしたネットワークを利用していたことが判明している。しかし、そのネットワークの真の所在は特定できなかった。セキュリティベンダーが攻撃者の使用しているインフラを特定し、最終的に使用させないようにしようとしても、次々とIPアドレスを変えられてしまうと、本物のC&Cサーバーにたどり着くことが非常に困難になってしまうからである。