海外における個人情報流出事件とその対応 第188回 本腰を入れた対策が期待される、ボットネットとの戦い (2)ゾンビの拡大を食い止めるために | ScanNetSecurity
2024.03.19(火)

海外における個人情報流出事件とその対応 第188回 本腰を入れた対策が期待される、ボットネットとの戦い (2)ゾンビの拡大を食い止めるために

●ボットでスパムを送って大きな利益

国際 海外情報
●ボットでスパムを送って大きな利益

 Srizbiボットネットの大きさについて紹介してきたが、ここでもう一度、ボットの問題について見てみよう。ボットネットの問題と言えば、DoS攻撃とスパムメールの送付が一番に挙げられるだろう。中でもスパムメールは、フィッシングメールおよびマーケティング目的のメールがあるだろう。常に大きな問題となっていて、セキュリティ企業なども対策に努めているが、状況はなかなか改善されない。その理由は、大きな収益を得られることから、スパム送信をやめないためだと考えられるだろう。

 では、スパムでどれぐらいの収益があるのか。2008年11月10日にカリフォルニア大学サンディエゴ校と、カリフォルニア大学バークレー校の関連機関International Computer Science Institute Berkeleyの7人の研究者が、スパム送信によるマーケティング効果についての合同調査の結果を発表している。スパムメールで販売されている製品の主なものは男性機能強化製品、ダイエット薬、ロレックスをはじめとする高級ブランドの時計が挙げられる。「こんなスパムが多数届いている」と話題にはなっても、実際に「買った」という話は聞かない。本当にスパムメールを受信して、何かを購入する人がいるのだろうか。

 調査はこのような疑問に回答を出そうという試みで、2008年春頃に26日間かけて行われた。使用されたのはストームボットネットだ。結論から言うと、1,250万通に1件のスパムメールに反応があるだけでも、日本円換算で年間に億単位の利益を生むことがわかった。

 チームは"働き蜂"ならぬ"働きボット"を作成。ストームボットのコマンド&コントロールシステムと、ハイジャックされて実際にスパムメールを送信するPCとの情報の"パイプ"とした。

 そしてプロキシにゾンビPCとして機能する75,869台の"働きボット"を接続し、スパムメールを送信した。チームが送ったのは、マルウェアを拡散するためのものと、性機能の改善のための製薬サイトにアクセスしてハーブ製品を購入するためのものの2種類だ。

 研究者は調査期間に4億6,900万件のスパムメールを送付。中心になったのが製薬関連のメールで、26日間で3億5,000万件のメールを送った。そのうち、売り上げにつながったと見ることができるものは28件にすぎない。つまり、0.00001%という惨憺たる結果ということになる。そして収入は合計で2,731.88ドル、1件あたり100ドル程度だ。一見、収益は期待はずれとも言える。

 しかし、調査ではストームボットの一部しか使用していない。ボットネット全体を使って、スパムを送信したとすると、この数字は変わってくる。1日あたりの収入は7,000ドルから9,500ドル、年間にすると約350万ドルになる。確かに、ボットネットを用いてスパムメールを送付することの収益率は抜群だ。特にボットによるスパム送付はコストがかからない。ダイレクトメールの送付では、例えば1,000通出すと250ドルから1,000ドルかかるというから、マーケティングを行う側がスパムメールを使用したくなるのも無理はない。

●求められるボット対策

 この状況を改善するには何が必要だろうか。1つには、今回のMcColo遮断のように、ボットネットを制御するコマンド&コントロールサーバへの接続を絶ってしまうことが挙げられる。

 McColoについては、数年にわたりコンピュータセキュリティの専門家に問題視されてきた。バイアグラや偽のセキュリティソフト、カルティエやロレックスなど、ブランド品などを販売するサイバー犯罪者の安全な避難所としての役割を果たしてきたためだ。

 また、一時は数十件の児童ポルノサイトをホスティングしていたほか、マルウェアを仕掛けたスパムメール送付でも悪評があった。そして、ついにMcColoのインターネット接続を行っていたISP、Hurricane ElectricとGlobal Crossingが多数の苦情に応じた。

 ただし、一部のボットネットは、コマンド&コントロールサーバが閉鎖されてコマンドがこなくなると、新しいドメインに接続されるようになっている。Srizbiは遮断後、約2週間で回復し始めた。

 McColoがコマンド&コントロールサーバをホスティングしていた別のボットネットRustockも、4日後の15日には活動を再開…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×