英ソフォスは2010年3月26日、ボットネットや攻撃ツールなどの情報を交換するWebサイト(フォーラム)の実態を報告した。ボットネットを構築するための情報や、売買するための情報がやり取りされているという。

 同社では、ボットネットなどの情報を交換するために運営されている“闇サイト”を調査している。最近の傾向としては、掲載されている情報や、参加者の技術レベルが低下しているという。

 例えば、「ボットネットのサーバーを構築するにはどうすればよいですか」「(ボットネットなどに使っても)閉鎖されないホスティングサービスのうち、どこが一番よいですか」といった“スクリプトキディ”(他人が作ったツールなどを利用するだけの、技術レベルの低い攻撃者)向けの質問と回答が多数掲載されている。

 ボットネットを持たない攻撃者向けに、その販売も行われている。例えば、小規模な「Zeus(ゼウス)」ボットネットなら、15ドルで購入できるという。Zeusとは、広く使われているボットあるいはボットネット構築ツールの名称。Zeusのボットネットは、ブラウザーから管理できる(図)。

 こういったWebサイトを見ると、多数のユーザー(攻撃者)が非合法でお金もうけをしようとしていることが分かるという。このためセキュリティ企業や法執行機関は、闇サイトを監視し、非合法活動を防ぐ必要があるだろうとしている。

 また、こういった闇サイトの中には、法執行機関が運営するおとりサイトがあるという。実際、2008年10月に閉鎖された「DarkMarket」という闇サイトは、FBI(米連邦捜査局)がおとり目的で運営していたサイトだった。