Rove DigitalとEsthostはDNS Changerと呼ばれる不正プログラムをユーザーのコンピュータに感染させ、DNSの仕組みを不正に利用することでサイバー犯罪を成立させていた。このサイバー犯罪の全貌と首謀者がどのようにして明らかになったのか。
まず、2006年時点でトレンドマイクロは、DNS Changerで構築されたボットネットに関連するC&Cサーバーが「esthost.com」のサブドメインに複数存在することを把握していた。例えば、偽DNSサーバーに関連するIPアドレスがDNS Changerのプログラム内に記述されており、そのホスト先が「dns1.esthost.com」から「dns52.esthost.com」となっていた。1から52までの数字をサブドメイン名に挿入し、52のドメイン名を使用していたことが分かる。
すべての偽DNSサーバーを一斉に更新できるバックエンドのサーバーも「dns-repos.esthost.com」というドメイン名で存在していた。また、Rove Digitalが別のサイバー犯罪に利用していた偽コーデックの不正プログラムで使っていたバックエンドサーバーも「codecsys.esthost.com」に存在していた。
体系立てられた仕組み、示唆的な名前がサブドメイン名に使われていることを考えると、「esthost.com」ドメインが第三者にハッキングされていない限り、このような仕組みを作れるのは限られてくる。Esthostのみがこのような構成をできる、ということである。
0 件のコメント:
コメントを投稿