スパム量、回復の兆し--悪質ホスティング企業の遮断から約2週間

　複数のセキュリティ研究者が米国時間11月26日に述べたところによると、11日にホスティング企業であるMcColo Corpのインターネット接続が遮断された際に排除されたスパム業者がオンラインに戻りつつある。

　最初にニュースを伝えたThe Washington PostのBrian Krebs氏によると、カリフォルニア州サンノゼに本拠を置くMcColo Corpは、すべてのスパムメールの75％に関与していたと見られている。

　Symantecが所有するMessageLabsのシニアアンチスパムテクノロジストであるMatt Sergeant氏によると、スパムメールの量は、McColo Corpのインターネット接続が遮断された際に80％減少し、以後比較的少ない量で推移していたが、数日前から増加し始めた。

　スパムメールの量は23日以降、McColo Corpのネット接続が遮断される以前の約37％まで増加してきていると、MessageLabsは述べる。

　Sergeant氏によると、McColo Corpは、コマンドサーバおよびコントロールサーバをホスティングしていた。これらのサーバは、PCに埋め込まれたボットソフトに（スパムメールやトロイの木馬を送信するようにといった内容の）命令を送るために使用されていた。ボットネットに組み込まれたPCの大半は米国のものだった。「何らかの処理を行うため命令がこないため、（ボットソフトが埋め込まれた）PCはスパムメールの送信を停止した」と同氏は言う。

　「Srizbi」「Asprox」「Rustock」「Mega-D」のような一部のボットネットは別のドメインに接続した後、活動を再開していると同氏は述べ、また一部のボットネットは米国外のインターネットサービスプロバイダー（ISP）に接続しており、これらを閉鎖するのは大変困難だろうと続ける。

　「現在の問題は、たとえば、エストニアのISPに閉鎖させるよりも、米国内のISPに閉鎖させる方がはるかに容易だったということである」とSergeant氏は述べた。

　「われわれは数週間にわたり、スパム業者の悪事を阻んできた。これはインターネットにとって良いことである」と同氏は述べ、「われわれのおかげで、スパム業者が負担するコストは上昇した。うまくいけば、一部のスパム業者が廃業するかもしれない」と続ける。

　Trend MicroのアドバンストスレットリサーチャーであるPaul Ferguson氏によると、研究者たちがこの件に関し協調して取り組んでおり、米国の各司法当局にも情報提供している。

　一部のボットネットは、一定の期間休眠した後、新しいドメインに接続するようにプログラムされていると、Ferguson氏は述べる。

　同氏によると、研究者たちは悪用されているドメインについて、一部のドメインネーム登録機関に働きかけて停止してもらうことに成功しているという。また研究者たちは、気づかずにスパム業者をホスティングしていると思われる一部のISPに対し、不正使用の苦情を申し立ててきた。

上のグラフは、McColo Corpのインターネット接続が遮断された後、スパムの量が80％減少し、その約2週間後、緩やかに増加する様子を示している
（提供：MessageLabs）