「Rustock の脅威との闘い - セキュリティ インテリジェンス レポート: スペシャル エディション」を公開しました。ルートキットタイプのバックドア型のトロイの木馬の一種である Win32/Rustock の背景、機能、動作原理を検証し、2010 年から 2011 年 5 月にかけての脅威の測定データと分析結果を紹介したものです。
Rustock は、世界最大のスパムボットの 1 つと報告され、約 100 万台の感染したコンピューターを制御下に置いていたと推定され、毎日数十億通ものスパムメッセージを配信していました。(1 日に 300 億通ものスパムメッセージを発信したこともあります。)
その内容は、マイクロソフトの宝くじ (そういったものはありません) に当選したかのように見せかける詐欺メールや、人体に危険を及ぼす可能性のある、偽の処方薬 (性的な医薬品) の提供を持ちかけるといったものです。
マイクロソフトは、業界および学術研究者と協力して、2011 年 3 月 16 日に Rustock ボットネットの遮断に成功したことを発表しました。法的措置と技術的措置の両方により、アップストリームプロバイダーからの支援を受け、このボットネットを制御している IP アドレスを分断し、通信を遮断してボットネットを無効化することに成功しました。
以下のグラフは、2011 年の 1 月から 4 月までに Rustock ボットネットによって行われ、Microsoft Forefront Online Protection for Exchange (FOPE) によって検出されたスパム活動を、受信したメッセージの数と使用された一意の IP アドレスの数で表したものです。
遮断後の 3 月中旬から活動量がほぼゼロまで急減していることがわかります。
ボットネットを制御している IP の封じ込めによって、上図の通り活動量は減少しました。また、駆除ツールなどにより Rustock に感染している PC の数も半分以下になりました。しかし、現在も数千万台の PC が Rustock に感染している状況で、駆除が必要です。Rustock に感染していると考えられる場合には、「悪意のあるソフトウェアの削除ツール」や「Microsoft PC Safety Scanner」を使用して駆除を行ってください。また、マルウェア感染の予防として、セキュリティ対策ソフトウェアは、常に最新の状態にしておくようにしてください。セキュリティ対策ソフトウェアを使用していない方は、無料のセキュリティ対策ソフトウェア「Microsoft Security Essentials」の導入を検討してください。
また、Rustock ボットネット運営者の検挙に協力が必要です。マイクロソフトは 2011 年 7 月 18 日 (米国時間)、Rustock ボットネットをコントロールしている人物の発見、逮捕、訴追につながる情報提供者に $250,000 (USD) の懸賞金を提供すると発表しました。有力な情報をお持ちの方は、ぜひご連絡ください。詳細はマイクロソフトの公式ブログ「Microsoft Offers Reward for Information on Rustock」をご覧ください。
このような大規模なボットネット遮断を一企業が単独で行うことは不可能です。これを行うには、業界、学術研究者、法執行機関、そして世界各国の政府が協力し合う必要があります。私たちが力を合わせれば、犯罪集団によってボットネットが利用されるのを阻止し、誰にとっても安全で信頼できるインターネットを実現することが可能になるのです。