トレンドマイクロは10日、400万以上のボット(感染コンピュータ)により形成された巨大ボットネットが、FBIとエストニア警察の捜査によって閉鎖されたことを公表した。トレンドマイクロ社のほか、多数の業界関係者が協力したとのこと。 「Operation Ghost Click」という作戦名称のもと、ニューヨークとシカゴのデータセンターに対して、FBIによる強制捜査が実施され、100台以上のサーバで形成されていたインフラが閉鎖た。同時に、エストニア第2の都市タルトゥでこの犯罪活動に関与していた「Rove Digital」社の複数のメンバーが、エストニア警察により逮捕された。 「Rove Digital」は、一見すると、タルトゥ市にオフィスを構える「社員が毎朝出勤するごく普通の正規のIT企業」だったが、その実態は、世界規模のボットネットを操るサイバー犯罪グループだった。その他の「Esthost」「Estdomains」「Cernel」「UkrTelegroup」、さらには、あまり知られていない小規模なダミー会社を統括する“親会社”でもあったという。 今回閉鎖されたボットネットは、DNS設定が別のIPアドレスに変更された感染コンピュータで形成されており、特定のドメインが全く別の不正なIPアドレスに関連づけられる細工が施されていた。被害を受けたユーザは、まったく異なるDNSサーバを使わされ、さらに気づかないまま不正なWebサイトに誘導されることになる。 トレンドマイクロでは、この「DNS改変型ボットネット」に関与していると思われるグループの情報を、2006年から把握。Rove Digitalが、単に不正プログラムの感染活動を行っていたというだけでなく、C&Cサーバや偽DNSサーバから、DNS改変型ボットネットを駆使したクリック詐欺による金銭詐取に使われたインフラまで、手広くコントロールしていたという事実を掴んでいた。今回、主犯グループが逮捕され、問題のボットネットも閉鎖されたのを受け、情報の一部を公表したとしている。
