2008年に流行した「Koobface」というワームを覚えているだろうか? これは主として「Facebook」「Twitter」などのソーシャルネットワークを介して感染を広げていったワームで、動画へのリンクを張り、これをクリックするとFlashのアップデートを求められ、実行ファイルであるflash_player.exeを開いてしまうとウイルスに感染するというものだ。

このKoobfaceをずっと追跡し続けていたのが英SophosのDirk Kollberg氏とセキュリティ研究者のJan Dromer氏だ。両氏は1月17日、Sophosで詳細な調査結果を公開、Koobfaceを操作していた犯罪グループの識別に成功したという。

Kooberg氏とDromer氏は2009年10月に調査を開始、Facebookのセキュリティチームなどの協力を得て、2010年2月まで綿密な追跡調査を行った。両氏はKoobfaceが攻撃に利用していたC&C(Command & Control)サーバのApache Web Server設定のミスを糸口に追跡調査を始めた。

これにより、Koobfaceのボットネットの全体図に加え、ユーザー名、ソースコードコメント、IPアドレスの入ったログファイルなどの情報を収集し、複数のドメイン名とIPアドレス情報を押さえたという。同じニックネームをFlickrやICQなどでも利用していることなどから、主犯と思われるメンバーを絞り込んでいったようだ。

その結果、グループの主要メンバーは5人でロシアのサンクトペテルブルグ在住で、サンクトペテルブルグにオフィスも持ち、5種類の携帯電話でSMS経由で毎日の売上高の報告を受けていることなどがわかった。Sophosでは一部をぼかした5人の顔写真とオフィスの写真も掲載している。

Sophosが公開した5人の顔写真。1人はDanchev氏が公開した人物写真と同じだ

Sophosはこれらの情報を警察に提出しているが、容疑は確定しておらず、逮捕状などはまだ出ていないという。だが、Sophosの上級技術コンサルタントのGraham Cluley氏はBBCに対し、「(自分たちの調査に)かなり確信がある」とコメントしている。

Koobfaceの犯人調査については、2012年1月に公開情報から情報収集を行うOSINT(オープンソースインテリジェンス)活動家のDancho Danchev氏がメンバーの1人について詳細なレポートを発表、New York Timesも報じたことから、Sophosも公開に至ったと説明している。