3月24日、RSAセキュリティは毎月定例のセキュリティ解説「オンライン犯罪の現状と対策」を開催した。今月紹介されたのは、マルウェアがウイルス対策ソフトに検出されないかをチェックする犯罪者向けサービスの存在、そしてオンライン犯罪組織ネットワークの構造だ。
新しいマルウェアやその亜種を作成した犯罪者が、頒布前に行なう作業の1つが、ウイルス対策ソフトによるチェックだ。検出されないほうが感染拡大しやすいわけで、これまでも一般に公開されているオンラインの無料ウイルスチェックサービスを犯罪者が利用するケースがあったという。
同時に複数の検索エンジンでチェックできるため犯罪者にとっても便利なサイトなのだが、犯罪者がアップロードしたマルウェアの情報をセキュリティベンダーに通知するサイトがでてきたという。犯罪者にしてみれば、せっかく作ったマルウェアが頒布前からウイルス検索の対象となってしまうわけで、不都合だ。
こうした状況の中、RSAセキュリティの「RSA Anti-Fraud Command Center(AFCC:オンライン不正対策指令センター)」が発見したのが犯罪者専用のウイルスチェックサービスだ。これは、犯罪者を支援する「FaaS(Fraud as a Service:詐欺としてのサービス)」として位置づけられるもので、1つのファイルを1回スキャンすると15セントから1ドル程度という有料のサービスだ。
有料であるため、使い勝手がよくなければ犯罪者にも使われない。そこでこうしたサービスでは、高度な自動化機能を提供しているという。APIを公開しており、複数のウイルス検索エンジンによるチェックが自動的に行なわれる。ウイルスの定義ファイル(シグネチャ)は最短1時間で更新され、更新によって検出が可能になったエンジンが出るとメールなどで自動通知する機能も持つ。
また、会員向けの値引きサービスも存在するという。金銭取得が目的でマルウェアを配布する以上、ウイルス検知されることなく頒布の効率を上げるための出費は、犯罪者にとっては必要経費なのだろう。
奥が深かったオンライン犯罪組織ネットワーク
この日紹介されたもう1つのトピックは「AS-TOROYAKの調査からつかめたオンライン犯罪組織ネットワークの構造」だ。AS-TOROYAK(トロヤック)は、マルウェアサーバとインターネットとの橋渡しをする「アップストリームプロバイダ」で、名称はトロイのロシア語スラングが語源になっているという。
RSAの当初の予測では、圧倒的なシェアを持つトロイの木馬「Zeus」などのマルウェアのサーバのアップストリームサーバは、AS-TOROYAKだけが担っていると考えていたという。AS-TOROYAKの背後に複数のマルウェアサーバがある形だ。
しかし、3月7日前後にAS-TOROYAKが断続的にダウンしたことから調査を進めたところ、アップストリームプロバイダはAS-TOROYAKだけでなく、複数のアップストリームプロバイダが存在するメッシュ状のネットワークであることが判明したという。
このネットワークの中核には「Bulletproof Network(防弾ネットワーク)」という、インターネットから隔離されたネットワークが存在し、マルウェアサーバなどはこの中に位置する。Bulletproof Networkとインターネット(一般のISP)の中継点がAS-TOROYAKを含む、複数のアップストリームプロバイダだ。
上の図にある最下部のオレンジ部分がBulletproof Network、中段がアップストリームプロバイダでその最右がAS-TOROYAKだ。AS-TOROYAKには多くの接続が集まっているが、それでもアップストリームプロバイダの1つでしかないことがよくわかる。最上部はインターネットを構成するネットワークの一部である、一般のISPだ
調査によれば、アップストリームプロバイダは5つ、Bulletproof Networkは9つ存在し、それぞれがAS番号を持っている。AS番号は欧州や中央アジアを管轄とするインターネット管理組織「RIPE NCC」が割り当てており、詐称の可能性もあるがカザフスタンやウクライナ、モルドバ、ロシアのIPアドレスを利用しているという。
