ボットネットの世界でも、状況が少しずつ厳しくなり始めているようです。今年になって有名なボットネットの閉鎖やそのオーナーの逮捕が相次いでおり、マネーミュール(送金仲介人)や、さらに重要なことにはトロイの木馬作成キット(Mariposa Butterfly ツールキット)の作成者までもが逮捕されています。こうした昨今の状況から、ボットネット界の食物連鎖に属する関係者が一様にプレッシャーを感じ始めているのは明らかです。他のビジネスと同じように、逆境に陥ると、それが引き金となって、ボットネットの勢力図においてもしばしば運営者の整理統合が見られます。数日前に
Brian Krebs 氏が発表したレポートは実に興味深く、Zeus(
Zbot)ツールキットの開発者が廃業(おそらくはビジネスを売却)して、
SpyEye ツールキットの開発者が、Zeus ツールキットのサポートおよび開発を引き継いだというのです。さまざまな角度から見てこれはおもしろい展開です。
まず、この 2 つのボットネットキット開発陣営の間には、これまで常に多少のライバル意識がありました。当初から SpyEye には、これから感染しようとするコンピュータにすでに Zeus が感染していた場合、Zeus を検出して駆除するように設計された機能が組み込まれていました。この機能は、Zeus が蔓延していることを踏まえて追加されたことは明らかです。SpyEye が感染しようとするコンピュータでも Zeus に出くわす可能性が高かったからでしょう。こうしたことから、SpyEye にとっては、標的のコンピュータを最大限活用するには、最初に Zeus をすべて確実に駆除してしまうことが理想的です。しかし、今年 4 月に行われたその後の調査では、「
SpyEye の Kill Zeus」機能が適用された割合は全体のほんのわずかに過ぎないことがわかっています。SpyEye は善戦していると言われていましたが、実際には決定打を放つことはできなかったのです。Zeus と SpyEye の開発者間の根底にあるこの関係を踏まえると、SpyEye の開発者が Zeus キットを手中にしているように見える現在の状況は、ますます興味深いものです。
すでに確認されている最近のもうひとつの展開は、Zeus の新種(
Zbot.B)の出現です。これが最初に確認されたのは、2010 年 10 月の初めころです。この新種の Zeus には、これまでの古いバージョンには見られなかった、
実行可能ファイルに感染する機能とドメイン生成アルゴリズムという 2 つの新たな機能が追加されています。各トロイの木馬に組み込まれている
ドメイン生成アルゴリズムは、毎日 1,020 個の一意のドメイン名を生成可能で、コマンド発行や更新のために大きなサブネットをランダムにチェックします。このテクニックは、Downadup ワームのブック機能(ちなみに、
Downadup では毎日、最大で 50,000 個のドメインを生成していました)を模倣したもので、標準的なドメイン遮断技術を保護手段としてはほぼ無力化してしまいます。
新種の Zeus は生成したドメインを 2 通りの方法で使おうとします。次のような URL を使って、ドメインへの問い合わせを行おうとするのです。
• http://[生成したドメイン]/forum
• http://[生成したドメイン]/news/?s=[DWORD]
最初のURL は、感染ファイルが新しい実行可能ファイルをダウンロードするために使用され、後の URL は構成情報のために使用されます。
新種の Zeus に新たに組み込まれたこれらの強力な機能と Brian Krebs 氏のレポートから判断すると、この新種こそが Zeus と SpyEye の合併後に生まれた脅威の第 1 号ではないかという推測はあながち間違ってはいないでしょう。結局のところ、SpyEye の開発者は、Zeus と SpyEye の両方がもつ脅威を最大限に活用することを約束したのでしょう。ルートキットについてはすでに確約済みで、さらにこの先に膨大な作業が控えています。新種の SpyEye(あるいは Zeus)の「Kill Zeus」機能はこれで終わりを迎えたのでしょうか。しばらく様子を見てみましょう。Zeus の新しいオーナーは新種の Zeus を次々と形を変えながら生成し続けることでしょうし、ビジネス上の観点から考えると、古いバージョンを無効にして新しいバージョンへの乗り換えを促すことに特に支障はないでしょう。