MS高橋正和 さんによる、実録Waldacボットネット遮断の話だけど、すごいなWaledacって。。。。めっちゃすごい技術的な構成をしてるんですね。フォールバックシステムがありすぎて、つらい・・・いや、社内にあるSkypeくらい、いやらしい・・・

いよいよ、今回はマイクロソフトの「Operation B49」によるWaledacボットネットの遮断について解説する。なお、ここで紹介する内容は、「Microsoft Security Intelligence Report Volume 8.」に詳しく記載されている。特に法的な対応については、原文を合わせて参照していただきたい。

第3回 Waldacボットネットの遮断に挑戦 | 日経 xTECH（クロステック）

Waledacは、米国を含む39カ国でTOP 10にランクされたボットネットで、スパムメールの送信、DDoS攻撃、クリック詐欺、感染などの活動を行う。感染した7万〜9万台のPCで構成され、一日あたり約15億通のスパムメールを送信していた（図6）。

第3回 Waldacボットネットの遮断に挑戦 | 日経 xTECH（クロステック）

Waledacのボットネットは、4階層からなる制御機構（C&C : Command and Control System）と、Fast Flux DNSを使ったフェイルオーバーメカニズムで構成している（図7）。

第3回 Waldacボットネットの遮断に挑戦（2ページ目） | 日経 xTECH（クロステック）

Waledacの最下層はスパマー・ノードと呼ばれ、スパムを送信するために利用される。第2階層はリピーター・ノードと呼ばれ、P2Pのアクティブ・ノードリストを維持し、スパマー・ノードへ配布するともに、上位層からの指令をスパマー・ノードに伝達する。「Middle Tier（TSL） Controller」となっている第3階層は、中間コントローラーと呼ばれる。この中間コントローラーは、ハーダー（Herder）と呼ばれるボットネットの運用者が操作をする第4層のメインC&Cサーバーからの指令を受け、リピーター・ノードへ伝達する。
一方、Fast Flux DNSサーバーは頻繁にIPアドレスを更新するDNSサーバーの通称である。Waledacのボットネットでは、P2Pを使った隣接ノードのアドレスが取得できない場合のフォールバックに利用される。

第3回 Waldacボットネットの遮断に挑戦（2ページ目） | 日経 xTECH（クロステック）

PCがWaledacのボットに感染すると、最初はスパマー・ノードかリピーター・ノードに割り当てられる。プライベートアドレスを使っている場合や、外部からTCP/80で接続できない場合は、最下層のスパマー・ノードに割り当てられる。グローバルアドレスを利用していて、外部からTCP/80を使った接続が可能なPCだと、第2層のリピーター・ノードに割り当てられる。
リピーター・ノードは、他のリピーター・ノードとリストを交換しながら、100程度の有効なノードに関する情報を、アクティブ・ノードリストとして維持している（図8）。そして、リピーター・ノードが一定期間オンラインの状態にあると、信頼できるノードとしてFast Flux DNSに登録され、フォールバックメカニズムに組み込まれる。

第3回 Waldacボットネットの遮断に挑戦（2ページ目） | 日経 xTECH（クロステック）

とはいえ、P2Pネットワークを遮断しても、WaledacはDNSを使ったフォールバックシステムがある。このため、Waledacを遮断するためには、DNSへの対応も並行して行う必要があった。これらについては次回に説明する。

第3回 Waldacボットネットの遮断に挑戦（3ページ目） | 日経 xTECH（クロステック）