復活を遂げた Waledac（Storm ボットネット）

電子メールスパムの状況全体を見渡すと、最近、注目すべきトレンドが間違いなく登場しています。ニュースを追っている方であれば、過去数カ月に電子メールスパムの活動が減少したことにお気づきでしょう。しかし、悪はしぶとく生き残り、今回も新たな武器を手に復活しています。1 月 1 日以降、Waledac（Storm ボットネットとしても知られています）が、スパム活動に加えて新たな展開も見せていることは、すでにお伝えしたとおりです。

こうしたタイミングはどれも、偶然とは考えられません。スパム電子メールが減少し始めたのは昨年 10 月のことで、それは Spamit が永久的に活動を停止したとみられた時期でした。スパム量が減少し、それとともにボットネットの活動が減った原因は、この事件がきっかけだったと示唆されています。

Waledac の復活、停止、そして再びの復活

年明けと同時に Waledac は復活し、自身を拡散して侵入先のコンピュータにミスリーディングアプリケーションをインストールするという新しいスパム活動を開始しました。ボットネットは、1,000 台弱のコンピュータで構成されていることが確認されましたが、1 月 5 日から 6 日にかけて突然、ボットネットはまったく停止したように見えました。ボットネットで使われていたドメイン名はいずれも IP アドレスに解決されなくなり、その活動もゼロになったかのようでした。この中断の理由は明らかになっていませんが、その 5 日後（1 月 10 日から 11 日にかけて）にボットネットは復活し、スパム活動を再開しました。これは、古くからの同類が復活したとみられるのと同じタイミングです。その Rustock ボットネットは、オンラインに復活して医薬品スパムを拡散していると報告されています。そして、どうなったかというと、Waledac も今や医薬品関連の電子メールスパムを送信しているのです。これが偶然と言えるでしょうか。

誰が何を?

停止期間を経て、ボットネットは活動を再開し、その後も更新が続いています。ボットのバイナリ実行可能ファイルが更新され、コード自体にも若干の変更がみられました。ボットネットによってピアツーピアで交換されたネットワークメッセージでは、ミスリーディングアプリケーションではなく医薬品スパムが込められたスパム攻撃を含む、新しいメッセージが確認されました。このスパム活動については Waledac が最初に登場したときにすでに取り上げましたが、その内容と非常によく似ています。

図 1: Waledac によって送信された医薬品スパムの例

スパムに含まれるリンクから、ユーザーはボットネットで管理されているドメインにリダイレクトされ、そこからさらに「Trusted Tabs」という名のブランドが所有しているドメインにリダイレクトされます。このブランド名は、医薬品スパム活動に連なる団体として悪名高いものです。

Rustock のことに触れましたが、Trusted Tabs ブランドは Rustock との関係が知られているもの（そのブランド名は「Canadian Pharmacy」）の中には含まれていない、ということを明言しておかなければなりません。この両者の間に何らかのつながりがあるかどうかは不明であり、その点については現在調査中です。

図 2: 医薬品ブランド Trusted Tabs の Web サイト

新しく更新されたボットネットは、少し成長したようです。過去 24 時間に約 1,400 のボットが確認され、主に米国とヨーロッパに分布しています。

図 3: マルウェアの拡散状況

最新バージョンについての詳細

ボットネットの詳しい解析については、以前のブログエントリで取り上げました。この新しい亜種（W32.Waledac.B と命名）も動作は同じで、ファストフラックスネットワークの特性を備えたピアツーピアネットワークのすべてのボットを組織するために ANMP プロトコルを実装します。この種のネットワークはボットのオンライン/オフライン切り替えに対して耐性があり、自身をごく短時間で再構成して非常に危険なボットネットとなります。

ピアツーピアではメッセージを介して相互通信をし、また、すべての通信で強力な暗号化とデジタル署名が使われます。シマンテックでは、停止前と再開後に、ピアツーピアで交換されるネットワークメッセージを解析し、それによりバージョン番号の更新（0.0.49 から 0.0.51 へ）が確認できました。また、スパム攻撃メッセージも確認できており、こちらは今や医薬品スパムメッセージをも含むように変わっています（以前のスパム攻撃では電子グリーティングカード関連のスパムが含まれていましたが、それとは対照的です）。

図 4: 停止前と再開後の 2 回にわたって送信されたメッセージ（更新されていることがわかる）

興味深いことに、バイナリ実行可能ファイルも更新されていますが、いくつかの特徴的なビットを除けば、前バージョンから大きな変更はありません。

図 5: 最新の更新で追加された 2 つのコード

新しく追加されたコードは、単にパラメータ（送信キューのサイズ）を検証しているだけのようです。おそらく、ボットの旧バージョンには、キューの大きさが適切に設定されていない場合に不具合の原因となるバグがあったのでしょう。ことによると、シマンテックが把握していたボットネットの停止も、このバグが原因だったのでしょうか。その点は不明であり、ボットハーダーはただ次の攻撃を待っていただけなのかもしれません。とはいえ、ソフトウェアの面で注目を引く要素であることは確かです。

この脅威に対する最善の予防は、いつものことですが、一般常識です。不明な送信者からの電子メールは開かない、医薬品に関するスパムを含む電子メールは開かない、どうしてもリンクをクリックするのであればリンク先の Web サイトを何度もチェックする、ということです。ほとんどの場合、スパムで届けられるリンクには支離滅裂な名前が付いているので、リンクをクリックする際は常に用心し、再確認するよう心がけてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。