セキュリティインテリジェンスレポートdownload.microsoft.com/download/B/3/1/B31CCAB7-FA18-4BEE...Rustock の脅威との闘い | セキュリティインテリジ

Rustock の脅威との闘い

| セキュリティインテリジ

ェンスレポートスペシャルエディション

2010 年 1 月～ 2011 年 5 月

Rustock の脅威との闘い – セキュリティインテリジェンスレポート: スペシャルエディション 1

Rustock の脅威との闘い – セキュリティインテリジェンスレポート: スペシャル

エディション

このドキュメントに記載された内容は情報提供のみを目的としており、明示、黙

示または法律の規定にかかわらず、これらの情報についてマイクロソフトはいか

なる責任も負わないものとします。

このドキュメントの情報は現状有姿のままで提供されるものであり、このドキュ

メントに記載されている情報および見解 (URL 等のインターネット Web サイトに関

する情報を含む) は、将来予告なしに変更することがあります。このドキュメント

の使用に伴う危険はお客様の負担とします。

Copyright © 2011 Microsoft Corporation.All rights reserved.

このドキュメントに記載されている実在の会社名および製品名は各社の商標です

。

著者 David Anselmi – Microsoft Digital Crimes Unit

Richard Boscovich – Microsoft Digital Crimes Unit

T.J. Campana – Microsoft Digital Crimes Unit

Samantha Doerr – Microsoft Digital Crimes Unit

Marc Lauricella – Microsoft Trustworthy Computing

Tareq Saade – Microsoft Malware Protection Center

Holly Stewart – Microsoft Malware Protection Center

Oleg Petrovsky – Microsoft Malware Protection Center

プログラムマネージャー Frank Simorjay – Microsoft Trustworthy Computing

2 Rustock の脅威との闘い – セキュリティインテリジェンスレポート: スペシャルエディション

はじめに

このドキュメントは、ルートキットタイプのバックドア型トロイの木馬の一種で

ある Win32/Rustock の概要を示したものです。ここでは、Win32/Rustock の背景、

機能、および動作原理を検証し、2010 年から 2011 年 5 月にかけての脅威の測定デ

ータと分析結果をご紹介していきます。また、Rustock ボットネットを遮断するた

めに使われる法的および技術的措置のほか、マイクロソフトのマルウェア対策製

品を使用して脅威を検出し、駆除する方法についても詳しく説明します。

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Rustock


序文

マイクロソフトと Rustock ボットネット

マイクロソフトは 2011 年 3 月 16 日、Microsoft Digital Crimes Unit (DCU) が業界および

学術機関の専門家と協力して、Win32/Rustock ボットネットの遮断に成功したこと

を発表しました。この時点で Rustock は、約 100 万台の感染したコンピューターを

制御下に置いていたと推定され、毎日数十億通ものスパムメールを発信させる能

力を有していたことが判明しています。これには、マイクロソフトの宝くじに当

たったかのように見せかける詐欺メールや、人体に危険を及ぼす可能性のある、

虚偽の処方薬の提供を持ちかけるスパムメールなどが含まれます。

Rustock は、DCU、Microsoft Malware Protection Center (MMPC)、および Microsoft

Trustworthy Computing の共同イニシアティブであるプロジェクト MARS (Microsoft

Active Response for Security) の一環として、マイクロソフトがその主導の下で遮断す

ることに成功した 2 番目のボットネットです。プロジェクト MARS は、ボットネッ

トおよびボットネットによって支えられている犯罪基盤に目標を定め、それを崩

壊させると共に、感染したコンピューターの制御権を被害者の手に戻すことを目

的として立ち上げられました。同プロジェクトにおける最初の成功事例は、2010

年春に Waledac ボットネットを無効化したコードネーム “Operation b49” です。

Operation b49 は、マイクロソフトのボットネット撃退アプローチにとって概念実証

的な事例でした。Waledac よりもさらに大規模で悪名高いボットネット Rustock は

、これに続く 2011 年初頭に遮断されました。Waledac の場合と同様に、Rustock の遮

断 (コードネーム Operation b107) では、Rustock ボットネットのコマンド制御構造と

その制御下で動作しているマルウェア感染コンピューターとの間の接続を切断し

て、ボットネットによる危害が継続的に加えられるのを阻止するために、法的な

措置と技術的な措置の両方が取られました。

このような大規模なボットネット遮断を単独で行うことは不可能です。これを行

うには、業界、学術研究者、法執行機関、そして世界各国の政府が協力し合う必

要があります。Operation b107 の場合、マイクロソフトは Pfizer、ネットワークセキ

ュリティプロバイダーの FireEye、そしてワシントン大学のセキュリティ専門家た

ちと手を組みました。FireEye は、Rustock の専門的な分析において技術支援を提供

http://www.microsoft.com/presspass/presskits/DCU/

http://blogs.technet.com/b/microsoft_blog/archive/2010/09/08/r-i-p-waledac-undoing-the-damage-of-a-botnet.aspx


し、協力者全員が、連邦裁判所に出廷し、Rustock ボットネットの危険性とインタ

ーネットコミュニティに対する影響について言明しました。マイクロソフトは、

オランダ警察当局の内部組織 Dutch High Tech Crime Unit とも協力し、米国以外の国

で稼動しているボットネットのコマンド構造を部分的に破壊することを支援しま

した。また、Rustock によって将来のコマンドアンドコントロールサーバーとして

利用される可能性のあるドメインの登録を中国で阻止することにおいて、CN-

CERT とも協力しました。

ボットネット撃退のためのこれまでの取り組みから得た教訓の中で最も重要なこ

とは、プロアクティブで破壊的な作業に協力して取り組むことが成功の鍵である

ということです。

Richard Boscovich

Microsoft Digital Crimes Unit シニア弁護士


Win32/Rustock の動作原理

Win32/Rustock は、スパムメールの配信を支援する目的で開発された、ルートキッ

トタイプのバックドア型トロイの木馬の一種であり、複数のコンポーネントで構

成されています。Rustock の検出が最初に確認されたのは 2006 年前半のことです。

その後 2008 年までに、Rustock は大量に出現し始め、2010 年中盤になると、世界で

最も広く蔓延した脅威の 1 つになるまで成長しました (図 1)。最近登場している変種

は、不正なセキュリティプログラムと関連しているものと考えられています。

図 1: マイクロソフトのマルウェア対策ソリューションによる Win32/Rustock の検出数 (2008 年 10 月～ 2011 年

5 月)

コンポーネントとインストール

Rustock は、カスタム製品とサードパーティ製品の両方を使用して暗号化された 3

種類のコンポーネントから成ります。Rustock は過去 5 年間で進化を遂げましたが

、RC4 暗号化アルゴリズムのほか、aPLib や UPX などのコード圧縮/難読化ユーテ

ィリティにも大きく依存しています。


ここでは、3 つのコンポーネントとそれが Rustock の感染プロセスにどのように関

与しているかについて説明します。

1. ドロッパーコンポーネントは、ユーザー

モードで実行され、ルートキットドライ

バーコンポーネントの復号化とドロップ

を担当します (Rustock のコマンドアンド

コントロール (C&C) サーバーと接続して

、利用可能なアップデートがあるかどう

かを調べることも、ドロッパーコンポー

ネントの役割です)。

ドロッパーコンポーネントは、コンピュ

ーターへの感染を試みる前に、レジスト

リをチェックして Rustock ルートキットが

既に存在するかどうかを調べます。ドロ

ッパーコンポーネントはこれを行うため

に、Rustock が完全にインストールされている場合にコンピューターのレジ

ストリに追加される、特定の "グローバルイベント" の有無を調べます。ル

ートキットが存在し、アクティブになっている場合、ドロッパーはコンピ

ューターへの再感染を試みません。

ドロッパーコンポーネントのコードは複雑であり、ポリモーフィック型の

ジャンプ命令を採用し、静的文字列は使用しないことによって、意図的に

乱雑で非最適化されています。コードは RC4 アルゴリズムを使用して暗号

化されてから、aPLib 圧縮ライブラリを使用して圧縮されます。

2. ドライバーインストーラーコンポーネントは、Windows システムドライバ

ーになりすましてカーネルモードで実行されます。このコンポーネントは

、beep.sys や null.sys などのドライバーをそれ自体のコピーで置き換え、さら

に起動後にコピーを置き換えることによって、自らを隠そうと試みます。

この試みが失敗した場合は、Rustock の種類に応じて、ハードコード化され

たファイル名またはランダムに生成されたファイル名のいずれかが、ドロ

ップされたインストーラーによって使用されるのが一般的です。ハードコ

ード化されたファイル名の例には、glaide32.sys や lzx32.sys などがあります。

Figure 2. Win32/Rustock schematic diagram


7005d59.sys は、研究者によってこれまでに発見されているランダムなファ

イル名の典型的な例です。

古い種類の Rustock は、検出されるのを防ぐために、さまざまな代替手法を

用いてシステムドライバーとしてインストールされるように仕組んでいま

した。研究者がこれまでに発見したところによると、Null 共有 (たとえば、

\\127.0.0.1\admin$\system32\drivers\ドライバー名.sys など) にインストールさ

れるよう試みて、代替データストリーム (System:lzx32.sys など) としてインス

トーラーをドロップする変種があることがわかっています。新式の Rustock

は、システムサービスフッキングを使用して、このコンポーネントをひそ

かにロードします。

3. ルートキットドライバーコンポーネントは、ドライバーインストーラーと

同様にカーネルモードで実行されます。このコンポーネントは、Rustock ペ

イロードのカーネルモード側に相当します。ユーザーモードボットクラ

イアントは、INT 2Eh 割り込みを使用してルートキットと通信します。

このコンポーネントには、C&C サーバーとの通信、Rustock のオペレーターか

ら送られた命令の実行など、バックドア機能を管理していたすべてのコードが

含まれています (通常、命令の実行はスパムメールの送信を伴います)。

他のコンポーネントと同様に、ルートキットドライバーコンポーネントは、

まず自らを復号化し、復号化されたコードのコピーをコンポーネントそのもの

に挿入してから、新しくインスタンス化されたコピーに制御権を渡します。

ルートキットコンポーネントは、その存在を隠すため、ZwCreateEvent、

ZwCreateKey、ZwOpenKey などのさまざまな関数をシステムサービスディスパ

ッチテーブル (SSDT) にフックして、自らのコンポーネントの名前が含まれてい

るすべての要求から自身を除外します。また、ntoskrnl.dll と ntdll.dll のほか、

tcpip.sys や wanarp.sys などのネットワークドライバーにも関数をフックすること

によって、ディスク操作とネットワーク操作も隠蔽します。

前述した保護手法 (RC4 暗号化、非最適化されたジャンプコード) に加え、

Rustock は、WinDBG、Syser、SoftICE などのカーネルデバッガーの有無をチェッ

クします。また、CRC32 チェックサムを使用して変更の有無を継続的にチェッ

クし、ソフトウェアブレークポイント (0xCC) を見つけるためにスキャンをか

けることによって、コードの整合性を維持しようと努めます。


スパム

Rustock がユーザーのコンピューターにインストールされ、巧みになりすましを行

うと、C&C サーバーに接続して通信する準備が完了します。Rustock が遮断される

までの間、これらの C&C サーバーは、Rustock に感染したコンピューターに情報と

命令を送り、コンピューターは命令に従って、ユーザーの認識、承認、関与のい

ずれも必要とせずにスパムメッセージを発信していました。

スパムコンポーネントの構造はさまざまです。カーネルモードのルートキットコ

ンポーネントに統合されている場合もあれば、研究者の間で確認されているとお

り、ルートキットコンポーネントによってディスクに個別にドロップされ、ユー

ザーコンテキストで実行される場合もあります。

古いバージョンの Rustock では、スパムメールを発信するために、“botdll.dll” という

カスタムビルドの SMTP クライアントエンジンが使用されていました。2008 年に

なると変更が加えられ、C&C サーバーから提供された資格情報を使用して

Windows Live Hotmail 経由でスパムを送信できるようになりました。電子メールをユ

ーザーのコンピューターから直接送信すると、そのコンピューターがマルウェア

に感染していることを示す証拠となり、ファイアウォールやその他のネットワー

ク監視テクノロジによって悪意のある活動として検出される可能性が高くなりま

す。Rustock は、Web ベースの電子メールクライアントを使用することによって、

検出されない可能性を高めることに成功しました。

Hotmail に移行したことによって、Rustock は SSL も利用できるようになりました。

従来の電子メールメッセージは平文で送信されますが、Rustock は DHTTPS を使用

して送信トラフィックを暗号化できるようになったため、検出をさらに回避する

ことが可能になりました。

感染したコンピューターから発信されるスパムは、ユーザーのコンピューターが

C&C サーバーから受け取ったリソースファイル、つまり "スパムテンプレート" に

基づいています。感染したコンピューターは、これらのテンプレート (マイクロソ

フトの商標を違法に含んでいるものもある) を使用することで、発信するスパムを

生成しました。Rustock のオペレーターは、乗っ取られたコンピューターがメッセ

ージを送信するために使用するスレッドの数を最大 100 まで指定することによって

、スパムを送り出すコンピューターの攻撃性の度合いを管理することもできまし

た。


マスメーラー型マルウェアの脅威の中には、Win32/Lethic のように、"宛先" 行に複

数のアドレスを含んでいるものがあります。これらの脅威と異なり、Rustock では

、一度に 1 人の受信者にスパムメッセージが送信されました。

図 3: Rustock および Lethic スパム配信モデルの比較

展開とペイロード

Rustock が進化したように、そのペイロードも進化しました。当初 Rustock は、スパ

ムメールを送信するよう設計され、McColo インフラストラクチャおよび Russian

Business Network (インストーラーがホストされていることを確認済み) と関連付けら

れていました。Rustock によって発信される典型的なスパムメッセージは、医薬品

や偽の医薬品販売サイトに関連したものや、追加的なマルウェアをホストするこ

ともあるページへのリンクを含んだものがほとんどでした。

Rustock は、不正なセキュリティソフトウェアサイトにトラフィックを向かわせた

うえで、ソーシャルエンジニアリング手法を用いて、何も疑っていないユーザー

に虚偽のウイルス対策製品を購入させ、インストールさせていたことも確認され

ています。また、不正なセキュリティソフトウェアやその他のマルウェアを感染


先コンピューターに直接インストールしたり、ドライブバイ攻撃によってインス

トールしたりしていたことも知られています。

DCU は、MMPC と共にある実験を行いました。この実験は、厳格な監視の下に置

かれたホストを Win32/Harnig (既知の Rustock ドロッパー) に感染させて、どのよう

なマルウェアが追加的にインストールされるかを調べるというものでした。次の

図に示すとおり、対話的な操作を一切行わない状態で感染後 5 分以内には、さま

ざまな追加のマルウェアと不要なソフトウェアが感染先コンピューターにダウン

ロードされ、インストールされていたことが判明しました。

図 4: Win32/Harnig に感染した後 5 分以内にインストールされた脅威

脅威名 MD5

Adware:Win32/Zugo 5a77b40c7e9de96a4183f82da0836a19

Backdoor:Win32/Kelihos.A 1454b22c36f1427820b24b564efb2e39

TrojanDownloader:Win32/Stasky.A 19616154d6d63a279d77ae11f7b998e9

TrojanDownloader:Win32/Bubnix.A 8e159ff1bbd5a470f903d0e32979811c

Rogue:Win32/FakeSpypro 76f4c35d23b7363fcf6d1870f0169efe

Trojan:Win32/Malagent 7d6ead50862311242902df065c908840

Trojan:Win32/Harnig.gen!D d0556114e53bae781a5870ef4220e4fc

Trojan:Win32/Hiloti.gen!D 1c8cb08d2841f6c14f69d90e6c340370

Trojan:Win32/Hiloti.gen!D 444bcb3a3fcf8389296c49467f27e1d6

TrojanDownloader:Win32/Renos.MJ 5571a3959b3bd4ecc7ae7c21d500165f

TrojanDownloader:Win32/Renos.MJ 89f987bdf3358e896a56159c1341f518

TrojanDownloader:Win32/Small.SL ccd08d114242f75a8f033031ceeafb88

Trojan:Win32/Meredrop 23472a09a1d42dc109644b250db0ca1e

TrojanDownloader:Win32/Waledac.C b7030bdf24d6828c6a1547dc2eece47d

TrojanDownloader:Win32/Waledac.C de5bd40cb5414a5d03ffd64f015ffacc

Backdoor:Win32/Cycbot.B 86d308e7a03e9619dbf423e47ac39c50

TrojanDownloader:Win32/Small.SL 2664b0abf4578d0079e3ad59ab697554

Worm:Win32/Skopvel 331fe9a906208ce29ba88501d525356b

Rogue:Win32/Winwebsec e4a9504875c975b8053568120c56743b

図 4 に記載されている脅威の多くは、さらに多くの脅威をさまざまな間隔でダウ

ンロードするように設計されています。


ダウンローダー型のトロイが多層構造になっていると、マルウェアネットワーク

の所有者間の関係は複雑な連鎖になります。ボットネットへのアクセスは、短期

貸し出し型に例えられることが多々ありますが、ダウンローダーサイトへのアク

セスも同じです。ダウンローダーによって参照されるファイルが絶えず変更され

ていることは、これを明らかに示しています。ファイルは、マルウェアの新しい

バージョンや注意を引かないように細工されたバージョンと交換される場合もあ

れば、まったく別のものと交換される場合もあります。

Rustock では、モジュール方式のペイロードアーキテクチャが採用されています。

そのため、以前のバージョンでは botdll.dll と呼ばれていたユーザーモードボット

クライアントが、他のペイロードで置換されることが容易にありえます。Rustock

はスパムの送信以外のことはほとんど行いませんでしたが、マイナーな変更を加

えるだけで、どのような悪質な目的にも利用できたということです。

バックアップ制御メカニズム

C&C サーバーにアクセスできなくなった場合のために、Rustock には、通信を再確

立するフォールバックメカニズムが用意されていました。このマルウェアに含ま

れているアルゴリズムでは、毎日 16 個の新しいドメイン名が生成されます。ドメ

イン名は、jvwyqarglgwqvt.info や hy38la8rwpaqlpiy.com などのように、どれも無意味

な文字から成ります。続いて、感染されたコンピューターがこれらの各ドメイン

との接続を試みます。Rustock のオペレーターは、これと同じアルゴリズムに基づ

いてドメイン名を事前に生成しておき、そのドメイン名をコマンドアンドコント

ロールポイントとして利用します。これまでに確認されている Rustock の変種の中

には、6 つの異なるアルゴリズムを使用するものがあります。これらのアルゴリズ

ムはそれぞれが別々のドメイン名リストを生成し、合計で毎日 96 個の新しいドメ

インを生成します。後で「Rustock に関する統計」の項で説明するとおり、マイク

ロソフトの研究者はこのメカニズムを利用し、Rustock ボットネットの感染の広が

りと範囲に関する貴重な情報を入手することに成功しています。


裁判における Rustock の打破

Rustock の遮断は、過去 2 年間にマイクロソフト主導で行われた 2 番目の大規模ボ

ットネット撃退事例です。マイクロソフトは 2010 年、Waledac ボットネットによ

って使用されていた多数の悪質ドメインを遮断するための裁判所命令を申請し、

発令を受けました (詳細については、セキュリティインテリジェンスレポートの

Web サイトを参照してください)。この取り組みの一環としてマイクロソフトは、

Rustock ボットのスパムで同社の商標が不正に使用されたことに基づき、このボッ

トネットの匿名オペレーターを相手取って、被告人名不詳のまま訴訟を起こしま

した。

図 5: Rustock ボットネットのオペレーターに対して発令された一時禁止命令

http://www.microsoft.com/security/sir

http://www.microsoft.com/security/sir


しかし、Rustock のインフラストラクチャは Waledac のそれより格段に複雑であり

、ボットネットの制御には、ドメイン名や P2P のコマンドアンドコントロール

(C&C) サーバーではなくハードコードの IP アドレスが使用されていました。ボッ

トが新しいインフラストラクチャにすばやくシフトするのを防ぐため、マイクロ

ソフトは、差し押さえ命令を一部に含んだ裁判所命令を請求し、2011 年 3 月 9 日に

その発令を受けました。この命令によりマイクロソフトは、連邦保安局の警護の

下、現場から証拠を収集し、感染したサーバーを解析のためホスティングプロバ

イダーから押収しました (この命令をはじめ、本件に関係する法的文書は、

www.noticeofpleadings.com に掲載されています)。

図 6: Rustock の C&C サーバーから押収されたハードディスク

2011 年 3 月 16 日、米国内の 7 都市 (ミズーリ州カンザスシティ、ペンシルベニア州

スクラントン、コロラド州デンバー、テキサス州ダラス、イリノイ州シカゴ、ワ

シントン州シアトル、オハイオ州コロンバス) に拠点を置くホスティングプロバイ

ダー 5 社からサーバーが押収されました。マイクロソフトは、アップストリーム

プロバイダーからの支援を受け、このボットネットを制御している IP アドレスを

分断し、通信を遮断してボットネットを無効化することに成功しました。


その後マイクロソフトは、押収したハードドライブのうち 20 台についてフォレン

ジック調査を実施した結果、ボットネットの運用に関する以下のような重要な情

報を発見しました。

ドライブの 1 つで見つかったスパム散布の証拠の 1 つに、カスタムコードで

作成されたソフトウェアがあり、このソフトウェアは、数千個の電子メー

ルアドレスとユーザー名/パスワードの組み合わせを含んだテキストファ

イルとスパムメッセージのアセンブリに関連するものでした。あるテキス

トファイルには、42 万 7,000 個以上の電子メールアドレスが含まれていま

した。マイクロソフトや製薬会社の商標を不正に使用したことの証拠とな

るスパムテンプレートもいくつかありました。

もう 1 つ別のドライブからは、そのドライブを搭載していたサーバーが対

ロシアサイバー攻撃の出発点として使用されたことを示すデータが見つか

りました。

残り 18 台のどのドライブからも、そのドライブのサーバーが匿名インター

ネットアクセスを提供するネットワークのノードとして使用されていたこ

とを示す形跡が見つかっています。これらのサーバーは、前述したように

、電子メールテンプレート、商標、電子メールアドレスなどを保存する

Rustock システムへの匿名アクセス権をオペレーターに提供するために使用

されていたものと考えられます。

ドライブに対するフォレンジック解析では、システムをテストする過程でオペレ

ーターによって使用された可能性が高い電子メールアドレスもいくつか見つかり

ました。

マイクロソフトは、これらのサーバーのホスティング契約を調査し、Rustock の

C&C サーバーに対する支払いがオンライン決済サービスアカウントを通じて行わ

れていること、そしてそのアカウントにロシアのモスクワ付近の住所が登録され

ていることを突き止めました。また、C&C サーバーの多くが “Cosma2k” というニ

ックネームを使った個人によって設定されており、このニックネームが多数の異

なる名前と関連していることも判明しました。

マイクロソフトでは、Rustock ボットネットの実装と運用に関与した個人を特定し

、適切な法的措置を取れるようにするため、これらの名前、電子メールアドレス

、その他の証拠に対する調査を今も引き続き行っています。


Rustock に関する統計

マイクロソフトは 2011 年 1 月 22 日から 2011 年 2 月 4 日の間に、世界中の 130 万個を

上回る一意の IP アドレスからインターネットに接続しているコンピューターで

Rustock の感染を検出しました。Rustock アーキテクチャの感染層は、世界中の企業

、家庭、学校、図書館、ネットカフェなどの場所に置かれた、多数の Rustock 感染

コンピューターで構成されています。

次の図は、Rustock に感染した 1 台のコンピューターが 24 分以内に非常に多くのイ

ンターネット接続を確立できることを示しています。このコンピューターは、通

常の接続を 3 つ確立しているだけでなく、インターネット上の DNS A ホストに関

する照会を 1,406 回、インターネット上のメールサーバーの DNS MX レコードに関

する照会も 2,238 回行っています。さらに、インターネット上の 1,376 台の電子メ

ールサーバーに対するスパムメールの送信も試みているほか (Hotmail および MSN

電子メールアカウントの多数のユーザーに対する送信も含む)、インターネット上

の C&C サーバーやその他のサーバーとの接続も 22 回確立しています。


図 7: Rustock に感染した 1 台のコンピューターが 24 分以内に行う活動を示した図

感染に関する統計

「Win32/Rustock の動作原理」の項で説明したとおり、Rustock の変種は、プライマ

リ C&C サーバーが使用不可の場合、アルゴリズムに基づいて生成された多数のド

メイン名にアクセスして命令を取得するよう設計されています。マイクロソフト

の研究者は、3 月 16 日のボットネット遮断の前に、Rustock のドメイン名生成アル

ゴリズムをリバースエンジニアリングすることに成功し、その結果、多くのドメ

イン名を独自に登録し、Rustock のオペレーターの手に制御権が渡るのを防ぐこと

が可能になりました。これらのドメイン名は、マイクロソフトによって運営され

ているシンクホール (マルウェアのトラフィックを吸収して解析するように設計さ


れたサーバーコンプレックス) に割り当てられ、これによって、ボットネットのト

ラフィックを観察/検査できるようになりました。シンクホールサーバーによって

生成されるテレメトリからは、Rustock ボットネットの地理的範囲に関する貴重な

情報が提供されています。

図 8: 遮断直後の 8 週間で Rustock のシンクホールに接続した一意の IP アドレスの数の推移 (1 週間ごと)

ほとんどのマルウェアファミリがそうであるように、Rustock は世界中のあらゆる

場所に均等に影響を及ぼすわけではありません。次の図は、遮断直後の最初の 1 週

間における、Rustock に感染したコンピューターからシンクホールサーバーへのヒ

ット数を示しています。


図 9: 遮断直後の最初の 1 週間における Rustock トラフィックの世界的な分散状況

第 1 週に最大のシンクホールトラフィックを生成したのは、米国内の感染コンピュ

ーターでした (5,580 万ヒット)。米国の後には、フランス (1,370 万ヒット)、トルコ

(1,340 万ヒット)、カナダ (1,140 万ヒット)、インド (730 万ヒット)、ブラジル (710 万ヒ

ット) が続いています。また、コンピューターの数が多いにもかかわらず、ヒット

数は比較的少なかった国もあり、これには中国 (第 1 週に 42 万 78 ヒット)、チリ (50

万 925 ヒット)、デンマーク (53 万 9,577 ヒット)、ノルウェー (58 万 1,263 ヒット) が

含まれます。

シンクホールに接続する IP アドレスの数は、遮断後の第 1 週と第 8 週の間で 44.2%

減少しています。この理由としては、ウイルス対策ソフトウェアやスクリプト、

駆除ツール、コンピューターの再インストールなどの方法で、感染したコンピュ

ーターから Rustock の変種が取り除かれたことが挙げられます。当初の感染数と同

様に、ヒット数の減少も世界全体で均等に見られるわけではありません。図 10 と

図 11 はそれぞれ、3 月 16 日の遮断後の第 1 週と第 8 週の間に Rustock シンクホールに

接続した一意の IP アドレスの減少率を地域別に示したものと、最も影響を受けた

インターネットサービスプロバイダー (ISP) で見られるトラフィックの減少率を示

したものです。


図 10: 遮断直後の 8 週間で Rustock のシンクホールに接続した一意の IP アドレスの減少率 (地域ごと)

図 11: 3 月 16 日と 5 月 17 日の間に最も影響を受けた ASN 15 社からの Rustock トラフィックの減少率

ASN Rank Continent Unique IPs – Week 1 Unique IPs – Week 9 Decreas

e

Affected ASN 1 Asia 117,480 42,109 64.2%



Affected ASN 4 North America 31,405 17,611 43.9%





Affected ASN 9 Europe 23,440 15,006 36.0%








スパムに関する統計

Rustock は、動作面での不安定さは否めないものの、世界最大のスパムボットの 1 つ

として報告され、1 日に 300 億通のスパムメッセージを発信したこともあります。

DCU の研究者は、Rustock に感染した 1 台のコンピューターがわずか 45 分間で 7,500

通のスパムメッセージを送信したことを確認しています。これは、1 日あたり 24

万通のスパムメッセージを送信することに相当します。さらに、Rustock から発信

されていることが確認されたスパムの多くは、医薬品の偽造品や未承認の模倣品

を宣伝するものなど、健康被害を引き起こす危険をはらんでいます。

前述したとおり、Rustock はこれらの偽医薬品の取引市場を拡大したため、医薬品

メーカーの Pfizer がこの裁判では参考人として供述しました。Pfizer は、Rustock によ

って宣伝されている医薬品を試験的に購入し、分析の結果を供述の内容に含めま

した。Pfizer の供述では、このタイプのスパムによって宣伝される医薬品は、その

製造環条件が安全でないため、不適切な有効成分を含んでいたり、間違った投薬

量を表示していたりすることが多いということが証拠と共に示されました。偽医

薬品は、殺虫剤、鉛を含んだ路面表示用塗料、床用ワックスなどの物質で汚染さ

れていることがよくあります。

図 12: Rustock ボットネットから発信されたスパムメッセージ


マイクロソフト製品によって検出された Rustock スパム

活動

Rustock から発信される大量のスパムは、Microsoft® Forefront® Online Protection for

Exchange (FOPE) を使用して検出されました。FOPE は、組織によって送受信される

電子メールを、電子メールポリシーに違反するスパム、ウイルス、フィッシング

詐欺などから保護するための多層型テクノロジを提供します。次の図は、2011 年

の 1 月から 4 月までに Rustock ボットネットによって行われ、FOPE によって検出さ

れたスパム活動を、受信したメッセージの数と使用された一意の IP アドレスの数

で表したものです。

図 13: 2011 年第 1 四半期に FOPE によって検出された Rustock ボットネットの活動 (受信したメッセージの数と使用された IP アド

レスの数)

2010 年 12 月 25 日と 2011 年 1 月 9 日の間は、Rustock ボットネットはほぼ完全に非ア

クティブでした。その理由は完全には明らかになっていませんが、クリスマス休

暇という休息期間とぶつかったことが影響しているものと考えられます。休暇期

間が終わると、ボットネットは通常どおりの稼動を再開し、2 月初旬までには、典

型的な安定した活動パターンが見られるようになっています。そして、遮断後の 3

月中旬には、活動量がほぼゼロまで急減しています。


まとめ

Rustock ボットネットは、動作面での不安定さは否めないものの、かつては世界最

大のスパムボットの 1 つとして報告され、1 日に 300 億通のスパムメッセージを発

信したこともあります。マイクロソフト、司法制度、そして業界が力を合わせた

結果、Rustock を 2011 年 3 月 16 日に遮断することに成功しました。


Waledac や Rustock などの大規模ボットネットに対して取られた対応は、この種の

対応としては前例のないものかもしれません。しかし、これが最後ではないこと

は確かです。サイバー犯罪集団がサイバー犯罪活動の基幹としてボットネットを

利用し続ける限り、マイクロソフトと世界中の業界パートナー、学術機関、法執

行機関は犯罪集団との闘いに継続的に尽力していきます。私たちが力を合わせれ

ば、オンラインの混乱を招くために犯罪集団によってボットネットが利用される

のを阻止し、誰にとっても安全で信頼できるインターネットを作成することが可

能になるのです。

http://www.microsoft.com/mscorp/twc/endtoendtrust/vision/botnet.aspx


ガイダンス: 必要ではない可能性が

ある悪質なソフトウェアから身を

守るには

ユーザーをマルウェアから保護するには、組織と個人の両方による積極的な取り

組みが必要となります。最新のマルウェア対策機能を維持し、ソーシャルエンジ

ニアリングなどのマルウェア散布手法の最新動向に精通しておくことが重要です

。

詳細なガイダンスについては、マイクロソフトセキュリティインテリジェンスレ

ポート Web サイトの "リスクの軽減" セクションに記載された以下のリソースを参

照してください。

安全なブラウジングの促進

ユーザーの保護

お使いのコンピューターが Rustock やその他の種類のマルウェアに感染している可

能性があると考えられる場合は、support.microsoft.com/botnets にアクセスして、コン

ピューターをクリーニングするための情報とリソースを無料でご利用ください。

http://www.microsoft.com/security/sir/strategy/default.aspx#section_2_3

http://www.microsoft.com/security/sir/strategy/default.aspx#section_4

http://www.support.microsoft.com/botnets

One Microsoft Way

Redmond, WA 98052-6399

microsoft.com/security

Documents

セキュリティ インテリジ ェンス レポートdownload.microsoft.com/download/B/3/1/B31CCAB7-FA18-4BEE...Rustock の脅威との闘い | セキュリティ インテリジ

セキュリティインテリジェンスレポートdownload.microsoft.com/download/B/3/1/B31CCAB7-FA18-4BEE...Rustock の脅威との闘い | セキュリティインテリジ