Rove DigitalとEsthostはDNS Changerと呼ばれる不正プログラムをユーザーのコンピュータに感染させ、DNSの仕組みを不正に利用することでサイバー犯罪を成立させていた。このサイバー犯罪の全貌と首謀者がどのようにして明らかになったのか。

 まず、2006年時点でトレンドマイクロは、DNS Changerで構築されたボットネットに関連するC&Cサーバーが「esthost.com」のサブドメインに複数存在することを把握していた。例えば、偽DNSサーバーに関連するIPアドレスがDNS Changerのプログラム内に記述されており、そのホスト先が「dns1.esthost.com」から「dns52.esthost.com」となっていた。1から52までの数字をサブドメイン名に挿入し、52のドメイン名を使用していたことが分かる。

 すべての偽DNSサーバーを一斉に更新できるバックエンドのサーバーも「dns-repos.esthost.com」というドメイン名で存在していた。また、Rove Digitalが別のサイバー犯罪に利用していた偽コーデックの不正プログラムで使っていたバックエンドサーバーも「codecsys.esthost.com」に存在していた。

 体系立てられた仕組み、示唆的な名前がサブドメイン名に使われていることを考えると、「esthost.com」ドメインが第三者にハッキングされていない限り、このような仕組みを作れるのは限られてくる。Esthostのみがこのような構成をできる、ということである。

2009年にDNS Changerを確認

写真1●Rove DigitalによりコントロールされていたIPアドレスのリスト(ゾーンファイル)
[画像のクリックで拡大表示]

 実際、ドメイン「esthost.com」がダウンした際には、Rove DigitalはC&Cサーバーのトップレベルドメイン(ドメイン名の最後の文字列)に「.intra」を使用し始めた。.intraは一般にプライベートなネットワークで利用するドメイン名である。トレンドマイクロでは米国にあった Rove Digitalのサーバーの一つから完全な.intra のゾーンファイルのダウンロードに成功した(写真1)。

 2009年には、二つのC&Cサーバーに関連するハードディスクドライブのコピーも入手したことから、「DNS ChangerによるWebサイト上の広告の置き換え」も確認した。

 このハードディスクドライブ内で、Rove Digitalの社員のものとされるSSH(Secure Shell)の公開鍵を複数確認した。この公開鍵とRove Digitalの社員がそれぞれ所有する秘密鍵を使うと、パスワード無しでもC&Cサーバーにログインできる。サーバーから入手できたログファイルを基に、該当のC&CサーバーはRove Digitalがタルトゥ市のオフィスからコントロールしていたことに間違いないと結論付けられた。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら