シマンテックによるZeroAccessの解説図

シマンテックは10月2日、同社のセキュリティブログで「ZeroAccess」と呼ばれるボットネットの解析結果を公表している。このボットネットは8月時点で、1日あたり190万台以上のコンピューターに影響を及ぼしているという。

ZeroAccessボットネットの特徴の1つに「P2PのC&C(コマンド&コントロール)通信アーキテクチャ」を使用していることが挙げられるという。

コアとなるC&Cサーバーが存在しないため、攻撃に使われている一連のサーバーを無効化しても、それだけでボットネットを停止に追い込むことができないという。そのため、高い可用性と冗長性をZeroAccessは備えている。

ZeroAccessに感染したコンピューターは、多数のピアに接続し、ほかのピアに関する情報を交換する。これにより、ボットはほかのピアを認識するようになり、ネットワークを通じて効率的に命令やファイルの拡散が可能になる。

また、ZeroAccessの構造と動作を考えると、最大の目的は侵入先のコンピューターにペイロードを配信することだという。ペイロードはクリック詐欺型のトロイの木馬と、Bitcoinマイニングの2つに分類できるという。

クリック詐欺型のトロイの木馬は、オンライン広告をコンピューターにダウンロードして、正規ユーザーによって生成されたように見せかけた偽のクリック行動を行うという。この偽クリックによって、ペイパークリック(Pay/Click)によるアフィリエイト方式の支払い対象となり、攻撃者が収益を上げる構図になっている。

Bitcoinマイニングは、仮想通貨であるBitcoinをマイニング(採掘)することで、1台のコンピューターで年間0.41ドル稼ぐことができるというもの。これを、不正なボットネットであるZeroAccessで190万台を束ねると、1日だけで数千ドルも稼ぎ出せる可能性がある。このようにして攻撃者は収益を上げているという。

シマンテックによると、ZeroAccessのP2Pアーキテクチャは確かに強力な回復力を持っているものの、ボットの大部分をシンクホールに捕捉できることが分かったとしている。つまり、これらのボットは攻撃者からのコマンドを受信できなくなり、コマンドの拡散や金銭獲得手法の更新、追加ができなくなるという。