2003年10月14日(火) 17時33分
スパム業者とクラッカーが結託:追跡不可能なサイトやスパム送信ウイルス開発(WIRED)
奴らを「スパッカー」(spacker)と呼ぼう——スパマー(スパム送信業者)とグルになって金を稼ぐ、新種のコンピューター・クラッカーのことだ。
こうした金目当てのクラッカーたちが、ジャンクメールの送信業者のために新しい技術を開発した。この技術は、スパマー——あるいはスパムを使って人をだます詐欺師たち——が、実質的に追跡不可能なウェブサイトを運営できるというものだ。
ポーランドのあるグループが最近、スパマーの集まるオンラインフォーラムに現れ、「ホスティング元を偽装して追跡をかわす」技術を宣伝して回っている。月額1500ドルを払えば、
http://www.webopedia.com/TERM/t/traceroute.html トレースルート(traceroute:IPのルートを追跡するコマンド)や
http://www.networksolutions.com/en_US/whois/index.jhtml フーイズ(whois:ドメイン名の登録者を検索できるサービス)といった、スパム対策にあたる人々が利用するネットワーク追跡ツールからサイトを保護するという触れ込みだ。
スパム対策にあたる人々はこれまで、スパムが宣伝しているウェブサイトに割り当てられた数字のIPアドレスを特定するのに、そうしたツールに頼ってきた。以前は、スパムが宣伝する製品の販売——あるいは「
http://www.hotwired.co.jp/news/news/culture/story/20030723202.html フィッシング(日本語版過去記事)」(phishing:有名企業を装うメールやサイトを使って個人情報をだまし取ること)と呼ばれる手口を使った、だまされやすいオンライン・ユーザーを狙った詐欺行為——を行なっているサイトを閉鎖させるには、サイトのIPアドレスを管理しているウェブホスティング会社に通知するだけですむことが多かった。
だが新技術の登場により、それらのツールは役に立たなくなると、この技術に詳しい専門家たちは述べている。
ポーランドのグループの代表者だという『テュバル』(Tubul)——フルネームは明かしていない——によると、新しいホスティング元偽装技術の優れているところは、厳しいスパム対策ポリシーを掲げた大手ウェブホスティング会社のサーバーを利用しているサイトさえ、この技術を使って本当の「居場所」を隠すことができる点だという。
あるオンラインチャットで、このホスティング元偽装技術の実例を見せてほしいと言われたテュバルは、商品未登録の『バイアグラ』やその他の薬物を販売しているウェブサイトのアドレスを書き込んだ。
「本当のIPアドレスを見つけてみるといい。ここをホストしているのは『ラックシャック・ネット』、最もスパム対策が厳しいインターネット・サービス・プロバイダー(ISP)だ」とテュバルは言った。
このサイトをトレースルートで追跡したところ、米コムキャスト社のケーブルモデム・サービスを使用したコンピューターがホストしているらしいとの結果が出た。
「偽装だ」とテュバル。
確かにそうだった。少し時間をおいてもう一度トレースルートをかけたところ、今度は米ベライゾン・コミュニケーションズ社のDSL接続を使用しているコンピューターがホストしているようだとの結果が出た。
同じくこの技術を利用している別のサイト、『リムーブフォーム・コム』(removeform.com)——信用に関する無料相談を提供するという触れ込みのサイト——にトレースルートをかけたところ、やはり毎回違う結果が出た。イスラエルのDSL回線に接続しているコンピューターだというものから、米アースリンク社のDSL回線を利用しているコンピューターだという結果までさまざまだ。しかし、このサイトのトップページには、一貫して『ヤフー・ウェブ・ホスティング』(Yahoo Web Hosting)というタイトルが掲げられており、このサイトが実際には、大手の米ヤフー社が運営するサーバー上に存在することを示唆している。
テュバルによると、彼のグループはトロイの木馬で乗っ取った45万台ものコンピューターをコントロールしているという。その大半は、ウィンドウズを搭載し高速接続を備えた家庭用マシンだ。乗っ取ったシステムには、グループが開発した特殊なソフトウェアをインストールし、それら膨大な数のコンピューターを通して、インターネット・ユーザーと顧客のウェブサイトの間のトラフィックを迂回させる。中継システムの数が多いことでトレースルートなどのツールを混乱させ、サイトの本当の居場所をうまく隠すのだ。このサービスを導入するには、グループが管理する複数のDNSサーバーのいずれかを使用できるよう、自身のサイトを設定するだけでいいという。
こうしたサービスは、料金は法外に高いが、それでも悪質サイトのIPアドレスを突き止めようとする人々を「間違いなく」手こずらせる存在になるだろうと、セキュリティサービス会社
http://www.lurhq.com/ 米ラーク社でセキュリティー調査を担当するジョー・スチュワート氏は話す。
「乗っ取られたコンピューターを経由してIPアドレスを突き止めようとしても、まずうまくいかないだろう。われわれにできるのは、せいぜい金の流れを追うことくらいだ——彼らが販売しているものに何でもいいから申し込んで、裏に誰がいるのか見つけ出すのだ」とスチュワート氏。
ジャンクメール送信業者のブラックリストを作成している『
http://www.spamhaus.org/ スパムハウス・プロジェクト』の責任者、スティーブ・リンフォード氏によると、ホスティング元を隠すこのような技術が、スパマーの間で広く使われるようになってきているという。背景には、スパマーとクラッカーが手を組んで新しい技術を開発している現状があるとリンフォード氏は話す。
「以前、クラッカーはスパマーを毛嫌いしていた。だがスパム送信がこれほどの巨大なビジネスになったため、スパマーになるのがたちまち流行に変わった」とリンフォード氏は語る。ジャンクメール・ビジネスは最近、「レイオフや解雇で職を失った技術者、あるいはネットワーキングやDNSの専門知識のある人々まで惹きつけている」という。
さらには、ウイルス作者までが金の魅力に誘われ、スパム送信ビジネスに足を踏み入れているらしい。リンフォード氏は、大量のメールを送信するインターネット・ワーム『
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.fizzer@mm.html フィザー』(Fizzer)は、スパム業者と手を組んだウイルス作者の仕業だと考えている。また、最近出た『
http://www.symantec.com/region/jp/sarcj/data/w/w32.sobig.c@mm.html ソービッグ』(Sobig)ワームの最初のものは、
http://www.lurhq.com/sobig.html 感染したパソコンをスパム送信のプロキシサーバーにすることを目的としていたというのが、スチュワート氏らの見解だ。
テュバルのグループでは、さらに多くのコンピューターを乗っ取り、自分たちの武器として利用するための手口として、悪意あるプログラムを仕込んだサイトをスパムで宣伝し、つられてやってきた訪問者のマシンを感染させるという方法を使っているようだ。最近、オンラインのスパム対策ディスカッション・グループに寄せられている
http://groups.google.com/groups?selm=ffb7c7fc.0310052244.183311e%40posting.google.com&oe=UTF-8&output=gplain 報告によれば、『ミラクルフォーメン・コム』(miracleformen.com)というホスティング元を隠したサイトが、米マイクロソフト社のインターネット・エクスプローラ(IE)の脆弱性を利用して、訪問者のコンピューターに悪意ある実行ファイルをインストールしようとする事例が発生しているという。
多数のコンピューターを乗っ取って巨大なネットワークを形成しているクラッカーのサービスを、スパマーやネット詐欺師が利用し始めたのは1年ほど前からだ、とスチュワート氏は話す。今年の夏、スチュワート氏はセキュリティー・コンサルタントのリチャード・M・スミス氏とともに
http://www.circleid.com/article/162_0_1_0_C/ 調査を行ない、乗っ取られたパソコンがポルノやクレジットカード情報のフィッシングサイトのホスティングに利用された事実を確認している。
ホスティング元の偽装に対抗する手段の1つとして、ISPやドメイン登録機関が、こうした悪質なグループが使用しているDNSサーバーをブラックリストに載せ、実質的にインターネットから追放してしまう方法があると、
http://www.pivx.com/ PivXソリューションズ社でセキュリティー調査を担当するトール・ラーホルム氏は話す。
だがテュバルによれば、彼のグループはこうした戦術に対抗するために、DNSサーバーをしばしば変更しているという。
ISPの多くが、こうしたホスティング元偽装問題の重大性を理解していないように思える一方、捜査当局はすでに調査に乗り出しているとリンフォード氏は述べた。
「こうした連中はISPの利用規定に違反しているだけではない。犯罪者として刑務所に放り込むべきだ」
[日本語版:天野美保/高橋朋子]
日本語版関連記事
・
http://www.hotwired.co.jp/news/news/culture/story/20031009207.html 1990年代のスパム王は今
・
http://www.hotwired.co.jp/news/news/business/story/20031002102.html アンチスパム・ビジネスが急上昇
・
http://www.hotwired.co.jp/news/news/technology/story/20031002301.html 他のドメインから送信したようにみせかけるスパムの新手法
・
http://www.hotwired.co.jp/news/news/culture/story/20030925206.html ポップアップ・メッセージを使ったID窃盗、AOLの会員が標的に
・
http://www.hotwired.co.jp/news/news/business/story/20030924106.html 「ポップアップ広告を防ぐ」ソフトを売る新手のポップアップ広告が増加
・
http://www.hotwired.co.jp/news/news/culture/story/20030723202.html FTC、メールを使った「なりすまし詐欺」で17歳を告発
・
http://www.hotwired.co.jp/news/news/culture/story/20030415205.html 米国上院議員、スパム規制法案を提出
・
http://www.hotwired.co.jp/news/news/business/story/20021206106.html 対策強化にもかかわらず、増えるネット詐欺
WIRED NEWSのメール購読申込みは
http://www.hotwired.co.jp/reception/index.html こちらへ
(WIRED)
http://headlines.yahoo.co.jp/hl?a=20031014-00000001-wir-sci