オンラインバンクを標的とした ボットネットの takedown事例に ... ·...
TRANSCRIPT
オンラインバンクを標的としたボットネットの
Takedown事例について
日本マイクロソフト株式会社
チーフセキュリティアドバイザー
高橋 正和
Malicious websites: Phishing sites
• SmartScreenによるフィッシングインプレッションの計測• 利用者がメールなどを通じてアクセスをしたサイトは、Internet Explorerの
SmartScreenによって評価され、フィッシングサイトと判断されものは、匿名化を行った上で記録される。この一連の動作をインプレッションと呼んでいる
• 日本に設置されたフィッシングサイトは、相対的に低いレベルにある
• フィッシングのターゲット
• 金融関係は引き続き高い割合を占めている
• SNSを標的としたフィッシングは、インプレッションの最多数を占める月もあり、2月には、66%を占めたが、SNSを標的としたフィッシングサイトは、5.8 - 8.8にとどまった
• SNSは少数のWebサイトに集約されているため、攻撃者は少ないフィッシングサイトで、効果的にフィッシングを行うことができる
日本のサイト:http://www.microsoft.com/ja-jp/security/resources/sir.aspx本社サイト :http://www.microsoft.com/security/sir/default.aspx
出典:Security Intelligence Report Version 15
ボットネット Takedownの概要
3
基本的な考え方
より安全な製品・サービスを提供する
脆弱性の適切な対応
より安全な製品の開発
サイバー犯罪等への取組み
マルウエア対策MTRS/Defender
ボットネットTakedown
PhotDNA
CTIP
4
ボットネットのTakedown日時 ボット名 推定台数 概要
2010/2/22 Waledac 数十万台 Operation b491日当たり15億通以上のスパム・メール送信に悪用
2010/10/25 Bredolab 3千万台 オランダ当局ハイテク犯罪チーム主導。ボットネットの停止の他、追加コマンドを送信し、コンピュータが感染していることを表示するプログラムをダウンロードさせてユーザーに通知
2011/4/11 Coreflood 2百万台 FBI 主導。感染したPCに対してマルウェアの停止コマンドを送信
2011/3/17 Rustock 2百万台 Operation b1071日当たり300億通以上のスパム・メール送信に悪用。全スパム流通量の47.5%はRustock経由で送信
2011/9/27 Kelihos 4万台 Operation b79スパムの大量送信、個人情報の窃盗、DDoS 攻撃など。Waledac との類似性から Waledac 2.0 とも呼ばれている。
2012/3/19 Zeus 800ドメイン
1300万Operation B715億ドルに上る被害をもたらしている Zeus, SpyEye, Ice-IXをTakedown
2012/9/13 Nitol 7万ドメイン
500種市場で販売されているコンピューターから検出されたNitolボットネットをTakedown
2013/2/6 Bamital サーチハイジャック、$1M/年以上のクリック詐欺
2013/6/5 Citadel 500万台1,462ドメイン
Operation b52キーロガーを使い5億ドル以上を詐取
2013/12/5 ZeroAccess 200万台 $2.7M/月のオンライン広告のクリック詐欺
5
ボットネット Takedownの成果:SPAMの減少
• Exchange Online Protectionのデータに見るSPAM• SPAMの送信量は、2010年に実施されたCutwailと RustockTakedownにより大
きく減少し、2010年には1:33(SPAM)から、2013年上半期には1:4(SPAM)となっている
• 62.7 - 74.2%のメールは、ネットワークエッジ(Reputation等)でブロック
• 25.8 - 37.3%のメールだけが、よりリソースを必要とするコンテンツフィルタリングの対象となり、そのうちの7.6 -10.0%(全体の1.7 - 2.7%)がSPAMとしてフィルターされる。
6
オンラインバンクからの詐取(Zeus)
PCから口座情報を詐取
・ファイル等からの詐取・Key loggerによる詐取
銀行などのID盗難の対策
・二要素認証乱数表ワンタイムパスワード
Man in the
Browser Attack
二要素認証によるログイン
ログインTop Page
口座Aに100万円を送金
AをBに書換え 口座Bに100万円を送金
口座Bに送金終了
口座Aに送金終了
BをAに書換え
認証
認証の確立したセッションを利用して、トランザクションを改ざんすするため、二要素認証でも攻撃を防ぐことができない。また、銀行から表示されるデータも改ざんされているため、この行為に気づくことは困難。一般に、送金先は、Money Muleと呼ばれる運び屋の口座が利用される。Zeus/Zbot, URLZone/Bebloh 等
二要素認証を使うオンラインバンクからの金銭を詐取
7
Sub Publisher
PublisherMarket Place
Advertiser
$$$$$
$
Hit!Hit!
Hit?
2,000 クリック
8,000 クリック
Publisherは、Sub Publisherが生成するトラフィックのソースを把握することはできない
• 機械的に生成されたトラフィック• サーチ・ハイジャッキング• クリック・ハイジャッキング• ドメインエラーの悪用(入力ミスなど)• クリックロンダリング• 正常なトラフィックと合わせて利用する
Bamital (Module C)
クリック詐欺の(基本的な)仕組み
例:BLOG向けのアフェリエートプログラム8
WALEDACボットネット「遮断」アプローチ
短期的 – 先例を作る
Hotmailは18日間でWaledac感染コン
ピュータからの接続6億5,100万件を遮断
39カ国におけるボットネット
上位10位
技術的な対策と法的な対策の組み合わせ
9
Operation B54:Citadel
10
11
Operation B54: Citadel• 2013年6月5日 CitadelボットネットのTakedownを実施
• 金融関係機関、セキュリティ関連企業、FBIの協力で実施された• Information Sharing and Analysis Center (FS-ISAC), NACHA – The Electronic Payments Association, the American
Bankers Association (ABA) • Agari, A10 Networks, Nominum
• 米国、ヨーロッパ、香港、シンガポール、インドとオーストラリアを中心に感染を広め、 500万人に影響を与え、5億ドル以上(USD)の損害が発生した。
• 5億ドル以上の損害を出したと考えられる、1400以上のボットネットに対して、米国地方裁判所(ノースカロライナのウェスタンディストリクト)への民事訴訟に対する裁判所命令に基づき、執執行官と共に、ニュージャージー州とペンシルバニア州にある二つのデータセンターのサーバーを含む、データと証拠の差し押さえを実施した
• Citadelを完全にTakedownできたわけではないが、活動を大幅に阻害するものと考えている
• Citadelに感染したコンピューターへの対処• 過去のオペレーションと同様に、世界中のISPやCERT組織に情報を提供し、感染したコンピューターへの対処を
促進する• C-TIP(Cyber Threat Intelligence Program)でも、同様の情報を提供する• FBIは、 、各国のボットネットインフラに対して同様のアクションが取れるように、海外の法執行機関に対して
情報を提供した
• Operation B54の特徴• Citadelは、セキュリティソフトへのアクセスを阻害する
• 被害者は、Citadelを駆除するためには、ブロックされたURLにアクセスする必要がある。
• Citadelを利用する犯罪者は、キー生成プログラム(Key Generator)を使って、Windows XPを使用している• Windows Vista以降のシステムでは、このような不正な利用を阻害するようになっている
• B54は官民の協力が、20世紀の方手的な枠組みの中で効果的に機能することを示す事例と言える
12
Operation B54の速報• 6月9日から6月15日まで、ほぼ130万のユ
ニークなIPアドレスから、Citadelのシンクホールにアクセスがあった
• ファイアウォールを経由した場合、複数のIPが同一IPを持つため、ユーザーエージェントを含めて分析をすると、190万台以上が感染していると考えられる。
• 国ごとの感染数では、ドイツ、対、イタリア、インド、オーストラリア、米国の順となっている
• インターネットの安全性を高めるために、Shadowserver等の研究者とも密接に連携をしている。
• この活動は、今後も継続して実施していく
13
オペレーションの主要メンバー• FS-ISAC
• 1999年に設立された、金融機関のISAC(Information Sharing and Analysis Center)
• 金融機関で、物理的およびサイバーセキュリティに関するインシデント情報を、適切で対応可能な情報を、タイムリーに共有することで、リスクを軽減することを目的としている
• NACHA:The Electronic Payments Association
• 電子商取引を支える ACH ネットワークの開発、管理、運用を行っている
• 17の地域の、10,000以上の金融機関を代表する組織
• ABA:American Bankers Association
• 米国の銀行を代表する組織で、総額14兆ドルの銀行業務と、2000万人により構成されている
• Agari: FS-ISACのパートナー
• フィッシングなどの電子メールの脅威から守るために、インターネット上から収集した数テラバイトの電子メールをベースとした、フォレンジックデータを提供
• A10 Network
• CitadelボットネットをTakedownするための先端技術を提供
• 2004年に設立された、革新的なネットワークとセキュリティソリューションを提供する企業
• Nominum
• CitadelボットネットをTakedownするための先端技術を提供
• 通信事業者向けの DNS/DHCPサーバーを提供している(140通信事業者)
• FBI
14
Zeus / Zbot /Citadelの基本• Zeusについて
• Zbotとも呼ばれるボットで、ジェネレーターとC&Cを構築するツールキットとして流通している
• バージョンや機能により $700-$15,000程度
• 多数の亜種が存在し、数百におよぶZeusボットネットが構築されている。
• Zeusは、キーロガー等を使い、認証情報を盗み出すことで、金銭的な利益を得ることを主要な目的としている。
• 被害額は、5億ドルにのぼり、感染数は 1300万台に上ると推定されている
図およびグラフの出典:Symantec Zeus: King of the Botshttp://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/zeus_king_of_bots.pdf 15
Zeusに対するアラート(Secret Service, FBI, IC3, FS-ISAC)
http://www.fsisac.com/files/public/db/p265.pdf
• サイバー犯罪組織は、中小規模企業の経営者と従業員の口座情報をターゲットとしている。
• これにより、重大なビジネス上の混乱と、相当額の金銭的な損失が発生している
• NYの企業が$16.4万の損失で破産
• E-Bank強盗が、$46.5万をカリフォルニアの金融機関から盗んだ
• ロサンゼルスの企業が、数千ドルのオンライン詐欺をうけ、銀行に対して訴訟を起こした
• サイバー攻撃は、ビジネス講座を、数分で空にする
• Zeusハッカーは、企業の機密情報を盗むこともできる
• テキサスの企業が、$5万のサイバー強盗に対して、銀行を非難している
• コンピューター詐欺が、イリノイ州の町から、$10万を盗んだ
• FBIは、ニューヨークの学校区から、$50万が盗まれた件を捜査している
• 米国・英国での逮捕にも関わらず、Zeusボットネットは生き残っている
16
二要素認証の回避(Zeus)
PCから口座情報を詐取
・ファイル等からの詐取・Key loggerによる詐取
銀行などのID盗難の対策
・二要素認証乱数表ワンタイムパスワード
Man in the
Browser Attack
二要素認証によるログイン
ログインTop Page
口座Aに100万円を送金
AをBに書換え 口座Bに100万円を送金
口座Bに送金終了
口座Aに送金終了
BをAに書換え
認証
認証の確立したセッションを利用して、トランザクションを改ざんすするため、二要素認証でも攻撃を防ぐことができない。また、銀行から表示されるデータも改ざんされているため、この行為に気づくことは困難。一般に、送金先は、Money Muleと呼ばれる運び屋の口座が利用される。Zeus/Zbot, URLZone/Bebloh 等
二要素認証を使うオンラインバンクからの金銭を詐取
17
mTANに対する攻撃(SpyEye)
mTANによる対策
①-1 口座番号パスワード(PIN)
銀行
mTANによる対策① 利用者がオンラインバンクにログインする
重要な取引は、mTANを通じて携帯電話に送信される認証コードを使って確認が行われる
② キーロガーがこれを詐取し、外部の犯罪者に送信する③ 犯罪者は、認証情報を利用して、銀行から現金を引き
出そうとするが、mTANに送信された認証コードが手に入らないため、取引ができない。
感染したPC
犯罪者
ワンタイムパスワードによる対策
①-1 口座番号パスワード(PIN)
銀行
ワンタイムパスワードによる対策① 利用者がオンラインバンクにログインする
ワンタイムパスワードで認証する② キーロガーがこれを詐取し、外部の犯罪者に送信
する③ 犯罪者は、認証情報を利用して、銀行から現金を
引き出そうとするが、ワンタイムパスワードが取得できないため、ログインができない
感染したPC
犯罪者
= 123 456
①-2 mTANを送信
② 口座番号パスワード(PIN)
② 口座番号パスワード(PIN)
①-2 ワンタイムパスワード
①-3 mTANを送信
送金等
mTANを入力mTANを認証し
送金を実施
mTANを携帯電話に送信
Mobile TAN (mTAN)Mobile Transaction authentication number
mTANs are used by banks in Germany, Spain, Switzerland, Austria, Bulgaria, Poland, the Netherlands, Hungary, Russia and South Africa. When the user initiates a transaction, a TAN is generated by the bank and sent to the user's mobile phone by SMS. The SMS may also include transaction data, allowing the user to verify that the transaction has not been modified in transmission to the bank.However, the security of this scheme depends on the security of the mobile phone system. In South Africa, where SMS-delivered TAN codes are common, a new attack has appeared: SIM Swap Fraud. A common attack vector is for the attacker to impersonate the victim, and obtain a replacement SIM card for the victim's phone from the mobile network operator. The victim's user name and password are obtained by other means (such as keylogging or phishing). In-between obtaining the cloned/replacement SIM and the victim noticing their phone no longer works, the attacker can transfer/extract the victim's funds from their accounts.[3]
出典:Wikipedia
18
MIBによるインジェクション
Man in the
Browser Attackアクセス
ログインページ
認証情報と、mTAN情報を
入力携帯電話に、認証のためのサイトを送信する旨のページを生成
二要素認証を使うオンラインバンクからの金銭を詐取 -1
mTAN用の登録情報の入力を追加
認証情報とmTAN登録情報を犯罪者に送信
メールを開いて、マルウエアをイ
ンストール
認証情報とmTAN登録情報
携帯へのメールを待つ
マルウエアを携帯電話にメール
Mobile TAN (mTAN)Mobile Transaction authentication number
mTAN等を受け取る携帯電話がマル
ウエアに感染
Man in the
Browser Attack
ログイン
二要素認証を使うオンラインバンクからの金銭を詐取 -2
マルウエアが、メールをインターセプトし、犯罪者
に送信
認証情報を携帯電話に送信
送金
認証情報を使って送金の
実行
送金の実施
送金完了を携帯電話に送信
口座保有者の携帯電話には、一連のメールが表示されない
19
ZeroAccessのTakedown(速報)
20
http://blogs.technet.com/b/microsoft_blog/archive/2013/12/05/microsoft-europol-fbi-and-industry-partners-disrupt-notorious-zeroaccess-botnet-that-hijacks-search-results.aspx 21
22
ZeroAccess (Sirefef botnet)のTakedown
• 2013年における3例目のボットネットのTakedown• EC3(Europol's European Cybercrime Centre),FBI, A10 Network
• 被害• WWで200万台のコンピュータが感染
• $270万/月のクリック詐欺
• 特徴• 主要な検索エンジンとブラウザがターゲット
• Google, Yahoo, Bing
• 検索結果を乗っ取って危険なサイトに誘導し、個人情報を詐取するマルウエアのインストールや、オンライン広告に対するクリック詐欺を行う
• P2Pを基盤としており、数万ものからボットネットのコントロールが可能であり、最もTakedownの難しいボットネットとされる
• 今回のオペレーションで完全にZeroAccessを破壊できるとは考えていない
23
オペレーションの概要• テキサスの裁判所に提訴
• 米国内の感染しているコンピューターとヨーロッパベースの18IPアドレスのサーバー間の接続を遮断する許可
UDP 16464, 16465, 16470, 16471 http://www.botnetlegalnotice.com/zeroaccess/
ZeroAccessがアクセスするIPアドレス
24
関係組織• Europol
• EC3は、2013年1月1日に公式に活動を始めた、EUがサイバー犯罪と戦うための拠点で、オンライン犯罪の迅速な対応に努めています。
• 加盟国と欧州連合に対して、捜査と分析の構築を支援し、国際的なパートナーと協力します。
• FBI• ナショナルセキュリティに対する脅威に対して、インテリジェンスと
法執行の両面から対応する組織で、テロや外国からのインテリジェンス活動から米国を守るために活動をしており、サイバー攻撃や、ハイテク犯罪も対象としています。
• A10 Networks• A10 Networkは、革新的なネットワーク技術とセキュリティソリュー
ションの提供を目的として2004年に設立された企業です。
25
オンライン広告とクリックジャックOperation b58Bamital botnet Takedown
26
オンライン広告の概要
PublishersSites displaying ads to their visitors
(Supply side actors)
Bing, Google, Yahoo, MSN, YouTube, ICanHasCheezburger
MarketplaceRuns the auction
AdWords & adCenter
AdvertisersSites wishing to acquire traffic
(Demand-side actors)
Wal-Mart, eBay, Amazon, Progressive, Apple
TrafficReal or Fraudulent
Internet Users
27
PublisherMarket Place
Advertiser
$$$$$
Hit!Hit!
オンライン広告の概要
Sub Publisher
PublisherMarket Place
Advertiser
$$$$$
$
Hit!Hit!
Hit!2,000 クリック
8,000 クリック
オンライン広告の再販(Sub-Syndication)
例:BLOG向けのアフェリエートプログラム29
Sub Publisher
PublisherMarket Place
Advertiser
$$$$$
$
Hit!Hit!
Hit?
2,000 クリック
8,000 クリック
Publisherは、Sub Publisherが生成するトラフィックのソースを把握することはできない
• 機械的に生成されたトラフィック• サーチ・ハイジャッキング• クリック・ハイジャッキング• ドメインエラーの悪用(入力ミスなど)• クリックロンダリング• 正常なトラフィックと合わせて利用する
Bamital (Module C)
Sub-Syndicationの問題と悪用
例:BLOG向けのアフェリエートプログラム30
BamitalServers
Bamitalの挙動
Search Engine
サーチハイジャック
Bamital Main Module
Module A
Module C PublisherMarket Place
AdvertiserSub
Publisher
クリックハイジャック
C&C
DGA domain
• 位置情報に基づいた C&Cの選択• サーチキーワード、リファラーの送信(jQuery)• 検索広告の書き換え(jQuery)
• 14のIPだけがサーバーの管理セクションにアクセス可能
• VPNを経由したアクセス• オンライン広告ブローカーの利用
• 180万のユニークIP (月)• 200カ国以上からのアクセス• 300万リクエスト/日• 0.1セント/クリックに換算すると
• $9万(約810万円/月)• $110万(約9900万円/年)
Configurationand update
検索結果を改ざんし、Fakeサーバーへの誘導
Trojan.Bamitalホワイトペーパー中で、Symantec社のサイトを事例としているため、当資料でも、例示として利用しています。
31
サーチハイジャックの仕組み
Search Engine
? Anti virus
Fakeサイト
検索結果改ざんされた検索結果
BamitalModule -A
BamitalServers
• Feedsystem.in• Allsearchforyou.in• Feed2system.in• Facesystem.in
Rogue NetworkRogue
NetworkRogue Network
Fakeサイトの表示
正規のサーバー
改ざんされたリンク
検索キーワードに応じて、リダイレクトするサイトを選択
Click!
• Bing• Google• Yahoo• etc
Hijack ws2_32.dll APIsConnect, send, recv,,,WSAconnect, WSAsend,etc
Redirect
Fake Siteに誘導することで、偽ソフトウェアの販売に加えて、クレジットカード番号の悪用やマルウエアの感染も行う。
32
感染のルート(Drive by Download)
Redirectクッキー”yatutuzebil”
ポルノサイト等
cookie
• all-celeb.com• allsearchforyou.in• bestpornodrive.com• beststoresearch.com• catalogforyou.com• catalogpornosearch.com• celebrity-info.com• drafsddhjk.com• easy-statistics.in• ekstaz.info• facesystem.in• famouspeopledata.com• famouspeopleinformation.com
• findalleasy.com• findallsimple.com• freepornoreport.com• freepornoshop.com• freesearchshop.com• localfreecatalog.com• loveplacecatalog.com• lovepornomoney.com• newpornopicture.com• newsearchnecessary.com• newsearchshop.com• pornobeetle.com• pornofreecatalogs.com
• pornofreeforyou.com• pornowinner.com• proshopcatalog.com• searchnecessary.com• search-porno.info• shopcataloggroup.com• shop-work.com• superstarsinfo.com• winnerfree.com
Redirect Site
PhoenixExploitPack
• bahufykyby.info• basewibuxenagip.info• cefimoqicy.info• cohehonyhe.info• covyqileju.info• decogonuwy.info• degupydoka.info• diconybomo.info• dixegocixa.info• favomavene.info• fegufidaty.info• fenemusemy.info• fihyqukapy.info• fokizireheceduf.info• fyzuvejemuxoqiw.info
• gecadutolu.info• gybejajehekyfet.info• hiveqemyrehinex.info• kyqehurevynyryk.info• lofyjisoxo.info• loqytylukykiruf.info• lujuhijalu.info• luxohygity.info• moqawowyti.info• musututefu.info• mysotonego.info• negenezepu.info• pyziviziny.info• qecytylohozariw.info• qokimusanyveful.info
• qudevyfiqa.info• radohowexehedun.info• relusibeci.info• rulerykozu.info• sygonugeze.info• taqyhucoka.info• tebejoturu.info• vesufopodu.info• vujygijehu.info• vyzefykeno.info• wezadifiha.info• xatawihuvo.info• xohuhynevepeqyv.info• zuhokasyku.info• zykuxykevu.info
これらのサイトは、数日間だけ稼働する
場合が多い
Bamitalまたは、他のマルウエア
ランダムに生成されたと思われるドメイン名
yatituzebil cookieをセットするドメイン名
33
ボットネットtakedownの手法
34
WALEDACボットネット「遮断」アプローチ
短期的 – 先例を作る
Hotmailは18日間でWaledac感染コン
ピュータからの接続6億5,100万件を遮断
39カ国におけるボットネット
上位10位
技術的な対策と法的な対策の組み合わせ
35
ボットネットのTakdown対策
• Waledac等のボットネットは、C&CサーバーをTakedownしても、すぐにボットネットを再構築できるような仕組みを持っている。• P2Pネットワークを使ったC&Cの構築• バックアップとしての、 Fast Flux DNSの利用
• Waledacの構図• スパマー・ノード
• スパムを送信するためのノード• リピーター・ノードと接続し、指揮命令を受ける
• リピーター・ノード• P2Pのアドレスリストを維持し、上位層からの指揮
命令を受ける。• Fast Flux DNSに登録される
• 中間コントローラー• リピーター・ノードに対して、指揮命令を行うた
めの中間コントローラー• メイン コマンド・アンド・コントロールサーバー
• ボットハーダーが、直截操作するC&C。• Fast Flux DNSサーバー
• P2Pによるアドアレスが取得できない場合に問い合せ先を登録するDNSサーバー。
36
DNSの対策:ホスト名の削除
Flux
犯人逮捕
DNS サーバーのTake Down
犯人不明のため、法的対策が取れない
DNSサーバーは、ハーダーのものではない
停止依頼(非公式なレター)
強制力がないため、必ずしも実施されない
ICANNの紛争解決方針
ハーダーに動きを知られ、対応の時間を与える
連邦裁判所
一方的な仮処分(ex parte TRO)
48時間以内のドメイン名の停止を、当事者に知らせることなく強制できる
37
DNSの対策:ホスト名の削除
連邦裁判所
一方的な仮処分(ex parte TRO)
紛争相手への事前通史なしに、一時的(14-28日間)な対処を行うための特別な救済策、証拠隠滅や回避策の実施を阻止するために適用される。一般に”一方的なTRO“の発行は困難で、連邦原則ルール 65に基づき、「これを行わない場合に即座に解決できない危害が継続すること」、「相手方への通知を行い、それができない場合にはその理由を明確にすること」を求めている。
ドメインが乗っ取られているケースの対処
ドメイン登録者を被告とせず、27のドメイン登録者に対して被告人不詳として訴訟(John Does訴訟)。
中国のレジストラを通じて登録されたドメインの対処
起訴手続きの連邦原則、米国憲法、中国の法律を満たすことを確認し、ハーグ条約に基づいて、中国法務省に依頼
ドメイン登録者に通知
適法手続権利の維持を保証するため、ドメイン登録者に、訴状を送ると共に、電子メール、FAX、書簡による通知を行い、加えて、サイトを作成し、訴訟に関する書面をすべて掲載の上、これをメディアなどを通じて周知www.noticeofpleadings.com
連邦裁判所に対する一方的なTRO発行の必要性の訴求
連邦裁判所は、通知を行った場合、訴訟を避け、不法行為を続ける機会があると判断し“一方的なTRO”を発行した。(30年以上前に偽ブランド品に対して実施)
停止命令が実施されない場合の対処
停止命令が実行され場合に、ドメインの所有権がマイクロソフトに移行するように申請し、認められる。
38
Operation b107:Rustock 解析結果• ハードディスク20台の解析結果
• スパムを送信するためのソフトウェアとデータ• 数千個の、メールアドレス、ID/パスワードの組み合わせを含んだテ
キストファイル
• 42万個以上の電子メールアドレス
• マイクロソフトや製薬会社の商標を不正に利用したテンプレート
• ロシアのIPアドレスに対するサイバー攻撃に利用されていたことを示すデータ
• 匿名インターネットアクセスを提供するノードとして使用
• 電子メールテンプレート、商標、電子メールアドレスなどを保存する Rustockシステムへの匿名アクセスを提供するために使用したとみられる
• サーバーのホスティング契約を調査• オンライン決済サービスを利用
• アカウントはモスクワ付近の住所が登録
• C&Cサーバの多くは“Cosma2k”という個人によって設定
• このニックネームは多数の異なる名前と関連
• 法的な措置を取るために、これらの名前、電子メールアドレス、その他の証拠に対する調査を継続している
• 2011年3月16日、米国の7都市に拠点を置くホスティングプロバイダー5社からサーバーを押収
• プロバイダーの支援を受け、ボットネットを制御しているIPアドレスを分断
39
マイクロソフト製品によって検出された Rustock スパム活動
• Rustock から発信される大量のスパムは、Microsoft® Forefront® Online Protection for Exchange (FOPE) を使用して検出
• 2010年12月25日から2011年1月9日の間、Rustockボットネットは完全に非アクティブ
• クリスマス休暇と、休息期間がぶつかったことの影響?
• 休暇期間後は、通常通りの活動を再開
• 2月初旬までは典型的な安定した活動パターン
• 遮断後の3月中旬には活動量が、ほぼゼロまで急減
2011 年第 1 四半期に FOPE によって検出された Rustock ボットネットの活動 (受信したメッセージの数と使用された IP アドレスの数)
40
むすび
41
むすび• ボットネットの主要な悪用方法
• スパム送信:フィッシングなど• オンラインバンク詐欺:Zeus等• オンライン広告詐欺:ZeroAccess, Bamital
• ボットネット Takedownの主要な手法• 技術的な取り組み• 民事訴訟によるドメイン名の差し押さえ等• 官民の関係組織との連携(FS-ISAC, NACHA, FBI, EC3, 多数のセキュリティベンダー等)
• 海外のCSIRT組織との連携• FBIなどを通じた海外の法執行機関との連携
• マイクロソフトでは、製品の安全性を高めるとともに、今後とも関係機関と協力して、ボットネットなどサイバー犯罪に対する取り組みを継続していく
42
43