ロシアのサイバー犯罪者集団「RBN」、サイトが突然の閉鎖

　悪意あるソフトウェアをホスティングしたとされるロシアのサイバー犯罪者集団「Russian Business Network」（RBN）が、インターネットの世界から突然姿を消した。

　東京に本社を置くセキュリティ企業、トレンドマイクロによると、悪意あるソフトウェアを開発するためのスイート（パッケージキット）を多数ホスティングしていたとされるRBNのサイトが、米国時間11月6日に突然閉鎖されたという。

　トレンドマイクロでマルウェア対策を担当する最高技術責任者（CTO）のRaimund Genes氏は11月9日、「どうやら、（RBNがソフトウェアを）アップしていたプロバイダーが彼らをブラックリストに載せ、この問題の多い顧客へのサービスを停止したようだ」と語った。

　インターネットセキュリティ企業VeriSignの研究者たちによると、RBNはロシア政府と結びつくことで、悪意あるソフトウェアの「無敵のホスティング」を提供できていたという。

　Genes氏は、RBNは勢力を過度に拡大させたために、今まで受けていた保護を受けられなくなったようだと説明する。「RBNのサイトでは、あらゆる種類のサイバー犯罪が扱われてきたが、最近は手口があまりに露骨になっていた。彼らはトルコ政府のサイトの1つに侵入し、RBNの下に登録されていたパナマのサイトへリダイレクトされるよう細工した。（そのサイトは）マルウェアを扱う複数の集団にレンタルされていた」

　Genes氏はさらに、具体的な名は明かさなかったものの、米国やブラジルの政府系サイトのいくつかもSQL（構造化問い合わせ言語）インジェクション攻撃を受け、悪意あるソフトウェアをホスティングするRBN関連のサイトへとリダイレクトされたことがあった、と付け加えた。「もしかしたら、どこかの政府が（RBNの）活動に怒ったのかもしれない」

　トレンドマイクロは、100％の確証はないとしながらも、RBNが活動拠点をアジアに移したと考えている。台湾や中国でホスティングされているサイトの多くが、通常RBNサイトにあったようなや悪意あるソフトウェアやパッケージキットをホスティングしている。

　「今では、台湾や中国のサイトが、RBNと同じやり方でマルウェアをホスティングしている。インラインフレーム（iframe）の脆弱性を悪用するものをはじめ、『MPack』（パッケージキット）やそのアドオン『IcePack』などが提供されている」（Genes氏）

　PHPベースのキットであるMPackを使うことで、開発者は悪意あるコードのモジュールを販売できる。iframeは、HTMLドキュメント内にフローティング（浮遊する）フレームを作成するためのHTMLタグの一種だ。iframeを使った悪意あるソフトウェアを埋め込んだサイトにウェブブラウザでアクセスすると、このソフトウェアは、iframeの処理の仕方に存在する脆弱性をついて攻撃する。