ボットネット。セキュリティー研究者にとってそれはまるでヒュドラーのようだ。凶暴な頭を1つ切り落とすたびに、切り口からまた2つ生えてくる。
つい〈一月〉前、MicrosoftとSymantecは、大量のBamitalボットネットを何とか退治したと発表した。Bamitalは偽クリックを生成して年間100万ドルもの金額を詐取したと言われている。今回出現したばかりの新種はどうなのか? 600万ドル。毎月。
ロンドン拠点のセキュリティー調査・トラフィック分析会社のSpider.ioは、このボットネットを2012年12月以来追跡している。様々な方法で身を隠すことからこれを”Chameleon”[カメレオン]と名付け、厄介な生き物の行動に関するデータを公開した。
- “Chameleon”はおよそ12万台のコンピューターを支配していると思われる
- ターゲットはWindowsパソコンのみと思われる
- これまでの多くのボットネットと異なり、Chameleonはテキスト広告だけでなくグラフィックやFlashの広告も偽クリックする
- このボットネットは月間約90億インプレッションを偽造し、約0.02%という見過ごしやすいクリック率で広告をクリックしている。
- 感染したパソコンの約95%は家庭のパソコンである(例えばおばあちゃんの古いDell機)
- このボットネットは毎月90億回の広告ビューから、1000ビュー当たり0.69ドルを稼いでいると推定され、これは実際には人間のいないビューに対して600万ドルが支払われたことを意味している。
膨大な数字だけでは不足とばかりに、Chameleonは検出や退治を困難にするいくつかの技を隠し持っている。無人でページをサーフィンする際、ページ内でマウスをあちこち動かす。このためロボット風の不審な動きを監視する不正検出システムから逃れやすい。訪問者ごとに常に複数の並行セッションを走らせ、スレーブセッションがクラッシュするとすぐ自動的にリスタートする。
Spider.ioによると、Chameleonは202箇所のウェブサイトを主な活動場所にしている。どの202箇所かは公開されていない。恐らく、それらのサイトのどれかあるいは全部が、実際にはそうでなくても、グルであることを暗示することになるためと思われる。これを使って利益を得られる(あるいは、ただ自分の技術力を誇示するため巧妙なボットネットを書く)〈誰でも〉に、仕掛人である可能性がある。
幸いSpider.ioは、最もアクティブな感染パソコン5000台と同社が呼ぶリストを解明した。しかし残念ながら、120,000から増え続ける中の5000である。SYMANTECよ、われらを救いたまえ。
[写真提供:D. Richard Hipp on Flickr under creative commons]
[原文へ]
(翻訳:Nob Takahashi)