インターネットの利便性が高まるにつれ、サイバー犯罪のためのツールも進化している。特に犯罪者からの指令一つでネットワーク単位の影響を及ぼす「ボットネット」は、そうした攻撃を支える要である。以下では、高機能化した代表例として「ファストフラックス」の実態に焦点を当てる。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
世界最大規模のボットネットインフラ「アバランチ」(Avalanche)が解体された後になって、それが「ファストフラックス」(Fast Flux)というネットワークを利用していたことが判明した。もちろんこうした悪質な仕組みを発見するのは、これが最初ではない。確かに近年、この種のネットワークを発見する機会は目に見えて増えている。だがそれでも、こうした仕組みを使って構築されたボットネットを解体するのは、かなりの難儀なのである。
ファストフラックスの基本的事柄
ファストフラックスのネットワークとは何か、そして、どのような仕組みで働くのか。まずこの言葉は、マルウェアをダウンロードさせたり、フィッシングサイトを運営するのに用いるドメインを隠したりするために、ボットネットが利用するネットワークのことを指している。P2Pのネットワークに似ており、ボットネットに利用されるC&Cサーバーやプロキシを運用するのに使われるネットワークを指すこともある。このネットワークを使うと、ボットネットは見つけにくくなり、さらには解体することが難しくなるのである。
ファストフラックスのネットワークの基本コンセプトは、ドメインネームを備えた複数のIPアドレスを用意し短時間のセッションでIPアドレスを変えてしまう、というものである。例えばアバランチの場合、2009年に登場して以来、犯罪に使われる80万を超える不正ドメインが発見されている。そしてIPアドレスを約5分といった短時間のうちに変えていくので、攻撃者に操作されているWebサイトを探し出そうと接続を要求しても別のコンピューターにつながってしまう。
実際のところ、この種のネットワークの構成要員となるコンピューターの大半は、サイトを運営して被害者に不正なプログラムをダウンロードさせる不正行為に対して、責任があるわけではない。こうした悪事は、不正なコンテンツを有するサーバーとして作動している数台のコンピューターが担っている。他のコンピューターはただ犯罪者によって操られており、このシステムの実際のアドレスを隠ぺいするのを助けるようリダイレクトの踏み台となっているにすぎない。
犯罪者は事態をより複雑にするために、自分のネットワークの中でも重要なシステムには、最も使い勝手が良いように、そして確実に作動するように広い帯域幅を持たせている。さらには、被害者のコンピューターが不正なコンテンツをダウンロードしようとして出す要求を全てさばくため、負荷を差配してバランスをとるシステムをも配備している。アクセスできないノードは捨て去る一方で、不正なコンテンツがなおもアクティブでダウンロード可能であり続けるよう、決まった間隔でネットワークの状態を監視するのも、よく見られる挙動の一つである。
ファストフラックスネットワークの種類
ファストフラックスのネットワークには大きく言って2つの種類がある。
1 シングル・フラックスネットワーク
シングル・フラックスネットワークの特徴は、数多くの個々のノード(パソコン等)がDNS上で1つのドメイン名に対して登録するアドレスとして、それぞれ自分のIPアドレスを登録・登録解除することにある。この登録は非常に短いスパンで繰り返され(平均5分)、特定のドメインにアクセスしようとしたときに常に変化し続けるIPアドレスの絶え間ない流れをつくり出す。
IPアドレスを登録することになるノードの数は厖大なので、たとえそのうちの幾つかが欠けたとしても、ほかのノードが確実かつ迅速に代わりを務めることができる。さらには、使用されているドメインは一部のプロバイダーがクライアントに提供している「防弾」サーバー上で運営されている。そのため、そのドメインを壊滅しようとする警察当局からのいかなる命令も無視されることになるのだ。
2 ダブル・フラックスネットワーク
この種のネットワークは、被害者のシステムと上に述べたような犯罪者の利用するシステムとの接続を成り立たせる装置と方法を利用する。しかしそれはもっと洗練されていて、マルウェアを実際に送り付けるマシンの位置を同定するのを困難にするように、新たなレイヤーが加えられている。
このケースでは、ボットネットを構成するゾンビコンピューターがプロキシとして利用される。プロキシは、被害者がホスティングサーバーやマルウェアを配布するサーバーと直接に通信しないように、クライアントとサーバーの間の仲立ちをする。そのため、サーバーの場所の割り出しが難しくなっているが、それは犯罪者が自分たちのインフラをより長く動かし続けるのに利用する、さらなる隠ぺい手段なのである。
ファストフラックスネットワークの検出
アバランチ解体のニュースが最初に伝えられたとき、一部のユーザーはこのボットネットが実際には2009年から活動していたということを知って、少し驚いたかもしれない。確かにこの手のボットネットが6年にわたって生き延びているというのは、時間がかかりすぎではある。しかしボットネットは、捜査をかく乱することを意図して設計されているため、それも致し方ないところもある。
犯罪者にとってファストフラックスのネットワークを用いたインフラを立ち上げるのは、比較的容易なことだ。このネットワークは追跡が困難で、捜査側をミスリードするような幾多ものノードを用いている。そしてさまざまな法律が関わることが、この種の捜査をさらに難しくする。というのは、さまざまな国の法的な規制が適用されることになるので、各国の警察当局は行動をとる前に合意を取り付けなくてはならないのである。
利用されるIPアドレスが常に変わること、そして何千ものランダム・ドメイン(DGAs)が続けざまに生み出されることも、捜査の障害となっている。捜査側はボットネットとの間で成立したそれぞれの接続過程を分析するのに、とても長い時間を割かなければならない。彼らはインターネットサービスプロバイダー(ISP)からの情報提供を受ける必要があるが、彼らは必ずしも捜査に協力的とは限らない。しかも、ボットネットのC&Cサーバーの居所を突き止めるのに有力な手掛かりとなるマルウェアの活動を見つけ出すためには、膨大な数のドメイン記録のログを分析するなど、しっかりと情報をふるいにかけていかねばならないのである。
そのため、こういった捜査は何年にも及び、長引くことがある。しゃくし定規な仕事の仕方をして、たった1つでもつまらない見逃しをしてしまったばかりに、作戦の全体が失敗に帰し、犯罪に加担した者たちが逃げ出すチャンスを与えてしまうこともある。
ユーザーとしてわれわれがなすべき第一のことは、われわれのシステムがサイバー犯罪者の運営する悪事の一部を担うことにならないようにすることだ。そのためには、メーカーが示唆するようにOSとアプリケーションをアップデートすること、ウイルス対策ソフトがいつもアップデートされるように設定しておくこと、そして、サイバーセキュリティ関連のブログを定期的にチェックして、このような脅威に関心を寄せ、どうすればそれが検知できるか常に注意しておくことである。