Facebookは米国時間7月8日、「Lecpetex」と呼ばれるボットネットを撃退した経緯を詳しく説明する記事を投稿した。
Facebookによる説明では、同社がどのようにしてLecpetexを見つけ出したのかという点に焦点が当てられている(Lecpetexという名前はMicrosoft Malware Protection Centerが後に名付けたものだ)。Facebookはギリシャ警察当局の支援を受け、ソーシャルスパムの拡散につながるコンピュータの感染阻止を目指した。Lecpetexは耐性が強く、自身の企てを阻止するような分析活動などの行為に対応するよう設計されていた。
さらに、Lecpetexの作成者は頻繁にコードを変更し、これにより2013年12月から2014年6月にかけて20回以上にわたりスパムの大量配信が実行された。このボットネットで利用された手法はそれほど複雑ではなく、昔からあるソーシャルエンジニアリングの手口だった。すなわち、ボットネットが添付ファイルを送信し、ユーザーがそのファイルを開くとコンピュータが感染するという仕組みだ。
Facebookによれば、同社はウイルス対策ソフトウェアが機能しないことを理由に対策を開始し、その後Lecpetexから情報を抽出するツールを開発したという。さらに7月3日には、ギリシャ警察がLecpetexの作成者たちを逮捕した。
一連の経過は次のとおりだ。
- 2013年12月--ギリシャから送信されるメッセージの急増が初めて自動検出される
- 2014年4月10~17日--C2(コマンドアンドコントロール)、配信用アカウント、テスト用アカウント、収益化アカウントなどの技術インフラに対する組織的な攻撃が行われる
- 2014年4月30日--ギリシャ警察に照会する
- 2014年5月--ボットネット作成者らがFacebook宛てのメッセージを指揮管理ページ上およびマルウェア内に残し、使い捨てメールのサイトおよびPastebinに移行して指揮管理を続ける
- 2014年5~6月--Facebookが、ボットネットの活動を阻止するために、ターゲットを絞ったバックエンド対策を追加する
- 2014年6月--ボットネット作成者らがメール大量配信機能をマルウェアに追加する(おそらくFacebook経由でのスパム配信が難しくなったため)
- 2014年7月3日--主要な作成者とみられる複数の人物をギリシャ警察が逮捕した
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
