最新のレポートによると、スパムは電子メール全体の95%以上を占めているという。こういった状況を生み出している元凶はボットネットにある。そこで本記事では、われわれの敵であるボットネットのうち、最大のものを10個紹介する。
本記事を執筆するためのリサーチを行っていた際に見つけた一連のブログ記事(英文:前編、中編、後編)を読み、内容の再考を迫られることになった。スパムを送信しているボットネットのランク付けは、思っていたほど簡単ではないということが分かったのである。上記のブログを執筆しているTerry Zink氏は、以下のような観点を挙げている。
- ボットネットを構成するゾンビPCの数
- ボットネットが送信する総バイト数
- ボットネットが送信する総メッセージ数
大枠で捉える場合には、こういったことは重要ではないと思われるかもしれない。しかし、IT技術者は詳細に目が行くものなのである。ゾンビPCの数や、送信される総バイト数は極めてストレートな観点だろう。また、送信される総メッセージ数も同様だと思われるはずだ。
ところが、そうではないのだ。ボットネットはスパムメッセージを作成するだけではなく、数多くのさまざまな宛先にメッセージを送信している。これによって、メッセージ数を計上する際に他の要素を考慮する必要が出てくるわけである。
混乱してきたって?筆者もそうだ。こういったことすべてが意味を成すよう、筆者はさまざまな特徴を取捨選択し(まったく科学的でないのは、もちろんだ)、以下のリストをまとめ上げた。これらのボットネットはスパム送信のアクティビティが活発なもの順に並べられている。
#1:Grum(Tedroo)
Grumはスパムを送信するボットネットの未来の姿を表している。これはカーネルモードで動作するルートキット(関連英文記事)であるため、その検出は困難である。また、Autorunレジストリが使用するファイルに感染するという狡猾さをも備えている。これにより、確実に活動が開始されるわけだ。このボットネットは研究者たちにとって特に興味深い存在となっている。サイズは比較的小さく、ゾンビPCの数は60万台しかない。しかし、1日あたり400億通ものスパムメールを送信しており、これは全スパムメールの約25%に相当する。
Grumは医薬品関係のスパムに力を入れている。どういった種類のスパムかはお分かりのことだろう。その目的は金銭であるが、それはスパムを送信するほとんどのボットでも、程度の差こそあれ同じはずだ。
#2:Bobax(Kraken/Oderoor/Hacktool.spammer)
Bobaxはボットネットハンターを煙に巻いており、Krakenというボットネットと何らかの関係がある。最近になってBobaxの開発者らは、コマンドや制御にかかわるトラフィックをHTTPで行うように変更したため、その遮断や追跡がより困難になっている。
現在のところ、ゾンビPCの数は10万台しかないものの、1日あたり270億通ものスパムメールを送信している。これは全スパムメールの約15%に相当する。つまり、ゾンビPC1台につき、1分あたり1400通ものスパムメールを送信しているということになるわけである。なお、Bobaxが送信しているスパムの内容は多岐に渡っていることから、賃貸されているものだと考えられている。
#3:Pushdo(Cutwail/Pandex)
Pushdoが活動を始めたのは2007年であり、Stormと同じ頃だった。Stormはすっかり過去のものとなっているが、Pushdoはまだ盛んに活動しており、約150万台のゾンビPCから、1日あたり約190億通のスパムメールを送信している。Pushdoはダウンローダであり、被害者のコンピュータにマルウェアをダウンロードさせることでアクセスを得る仕組みとなっている。そしてアクセスを得た後、スパムソフトウェアであるCutwailをダウンロードするわけである。
Pushdo/Cutwailボットネットは、医薬品やオンラインカジノ、フィッシング詐欺、マルウェアが仕込まれているウェブサイトへのリンクをはじめとして、さまざまな内容のスパムを送信している。