中国に拠点を移したロシアのハッカー集団が再び潜伏――アナリストは「1つの組織体としては消滅した」との見方を示す
RBNの消息が途絶えたことに、iDefenseは頭を抱えている。「いったいどこに行ったのか」と同部門のアナリストの1人が匿名を条件に語った。「全システムをこれほど短時間でシャットダウンできるとは驚きだ」(同アナリスト)
iDefenseは先週初め、RBNがロシアから中国にサーバを移行したことを突き止めた。11月6日にロシアのサーバに割り当てられていたIPアドレスをRBNが手放したため、サーバの所在をつかめなくなったが、翌7日には中国のIPアドレスを少なくとも7ネット・ブロック取得し、中国と台湾に拠点を移したことが判明した。
11月7日の時点でRBNは、中国のISPに割り当てられた5,120のIPアドレスを支配下に置いていたが、中国への移転が注目を集めたことで11月8日の木曜日に突然オフラインになった。先のアナリストによれば、8日には7つのネット・ブロックのうち6つがオフラインになったという。「顧客が不安に思えば、RBNの利益には大打撃だ。この手の連中は注目されることを何よりも嫌うのだ」(同アナリスト)。
RBNの顧客は、スパマー、ハッカー、個人情報の窃盗団、マネー・ロンダリングの協力者、幼児ポルノ業者などだ。彼らが、マルウェアを仕込んだWebサイトの運用や、スパム・キャンペーン、DoS攻撃の発射台にRBNを利用してきたことは、セキュリティ業界では周知の事実だ。
2006年10月中旬、RBNはWired誌のインタビューに応じ、「これは合法的なビジネスだ。スパム対策団体のSpamhausプロジェクトがRBNのIPアドレスをブラックリストに載せるのは心外であり、訴訟を検討している」と語った。その2日後、ロシアのITニュース・サイトであるCNews Russiaは、RBNの主張はプーチン大統領の名誉を傷つける作り話だと切り捨てた。
今のところ、RBNがどこに拠点を移したのか、そして再び姿を現すのかは謎のままだ。だが、iDefenseは、1つの組織体としてのRBNはすでに消滅したと見ている。
RBNがロシアで、そして一時的に中国で使っていたモデルは、トップダウン型の中央集権的ネットワークだった。このネットワークは、1つか2つのISPが合法性の疑わしい多数の企業をWebに接続させるという形になっており、これらの企業のサーバは、RBNにとっていわば“防弾”サーバとしての役割も担っていた。「コントロールと収益の両方の点からよくできた仕組みだ」と、先のアナリストは感心する。
今後、RBNは、このモデルではなく、より小さな単位に分かれて複数国のインターネット基盤を利用する可能性がある。「この手法でも身を隠せるが、コストはかかるし、リスクも高まる。RBNのコンテンツのホスティングを拒否するISPも出てくる可能性もある」と、アイディフェンスのアナリストは指摘する。
ただし、RBNの顧客から見れば、RBNが分散すれば発覚が遅れ、起訴されにくくなるというメリットがある。「6カ国あるいは7カ国にまたがると法の執行が非常に難しくなる」と同アナリストは強調する。だが、「追跡はできると思う。過去にも同様なグループが2社以上のISPに分散したときに追跡した経験がある」という。
崩壊した旧ソビエト連邦と同様に、中央集権組織としてのRBNはすでに死んだと思われる。「われわれの知る限りでは、RBNはもはや存在しない」と先のアナリストは語った。
(グレッグ・カイザー/Computerworld オンライン米国版)
提供:Computerworld.jp