法的な手法を用いて、ボットネット遮断をしたのは、最初としては、Waledecボットネット遮断事件になるかと思います。
この事件については、「実録!ボットネット撃退最前線 第3回 Waldacボットネットの遮断に挑戦」「同 第4回 DNSを止めWaledacの復旧を妨害」に詳しいので、興味のある方は、そのページを参照してください。
そのあと、2011年2月から、Rustockのテイクダウン作戦が行われ、それを前に調べる機会があったので、観点に紹介することにします。(なお、当時は、送達等の関係があったこともあって、裁判所の書類をみることができました。以下は、その当時の分析によります。)
Rustockボットネットとは、Win32/Rustockというトロイの木馬を利用したボットネットであって、世界でもっとも広く蔓延したものです。
このWin32/Rustockは、ターゲットのコンピュータに感染するためのドロッパーコンポーネント、Windowsシステムドライバーになりすますドライバーインストーラーコンポーネント、実際に実行されるルートキットドライバーコンポーネントから成り立っていて、これらが巧みに実行されると、標的となるコンピュータを乗っ取ってしまってC&Cサーバに接続して通信を行い、そのC&Cサーバからの命令に従って、ボットとなったコンピュータがスパムメッセージを送信することになります。
このスパムは、サーバから送られるスパムテンプレートに基づいて送信された。典型的なスパムメッセージは、医薬品やその販売サイトに関連したものやマルウエアをダウンロードさせようとするものでした。
2011年2月9日、マイクロソフト社は、被告 氏名不詳者(ジョン・ドゥー1ないし11)に対して(1)コンピュータ詐欺および不正使用法(合衆国法典18巻1030条)(2)CAN-SPAM法(同15巻7704条)(3)ランハム法(同15巻1125条(a ))に基づく商標侵害などを根拠に、差止などのイクイティ(衡平法)上の救済および損害賠償を求め、シアトルのワシントン州西地区地方裁判所に訴訟を提起しました。
訴状によると、
被告らは、Rustockボットネットを購入し、もしくはリースしているものであって、およそ96ものC&Cサーバに指令を出しており、訴状の別紙Aにおいては、米国内のデータセンターなどにおかれているRustockのC&Cサーバが特定されています。
訴状の請求原因の記述においては
Rustockボットネットが、マイクロソフトおよびその消費者ユーザー(以下、ユーザーという)に対して損害を与えていること、
ユーザーのコンピュータに無権原で侵入を行っていること、
ユーザーのコンピュータおよびその資源が刑事的活動/不正な目的に悪用されてしまっていること、
ユーザーが直接にスパムの活動の標的になってしまっていること、
マイクロソフトは、Hotmailのアカウントを保護するためにコストを支払っていること、
また、同様にRustockに感染してしまった人を支援するためにたくさんのコストを支払っていることなどが論じられています。
また、同時に、マイクロソフトは一方的緊急暫定差止命令(Ex Parte Emergency Temporary Restraining Order 以下、TROという)、差押命令、理由開示命令をも申し立てています。
同3月9日に裁判所は、一方的暫定差止命令、差押命令、理由開示命令を発令しました。
このTROにもとづいてマイクロソフトは、執行官とともにRustockボットネットのIPアドレスとドメインを無効化しました。
そして、3月16日、すべての訴答の書面が別紙Aに記載されているホスティング会社に送達されました。
そして、代理人弁護士は、それらのIPアドレスを販売している再販業者(米国外)にコンタクトをとっており、もし被告が停止されたIPアドレスについて復活させたいというのであれば、連絡するようにといっていた。
また、連絡自体も公表、電子メ―ル、実際の送達、ファクシミリ、ハーグ条約にもとづく通知・送達などもなされている。
また、3月9日のTROによって、取得したハードドライブに対してフォレンジック調査を行っており、それによって、ボットネットの実態が明らかになっています。
20のハードディスクに対して分析がなされており、電子メールテンプレートを備えたシステムがあり(ディスク1)、スパムメールや数千の電子メールアドレス、ユーザ名・パスワードのコンビネーションが記録されていました。また、そのシステムは、ロシアベースのウエブサイトにアクセスするためにもちいられていました。他のドライブには、ロシアのIPアドレスに対する攻撃のスタートポイントとなるようなシステムが組み込まれていました。その余の18のドライブは、TOR(オニオンルーターといわれる匿名サーバ機能)を備えており、Rustockボットネットへの匿名のアクセスを提供するものでした。
4月6日に、裁判所は、被告が操作し、RustockボットネットをコントロールをしていたIPアドレスとドメイン名を訴訟係属中は利用不能にする仮差止命令を発令しました。
この裁判手続のディスカバリーのプロセスと送達のための過程において、マイクロソフトは「Cosma2k」というハンドル名のものが、 すべてのRustockボットネットに対して責任をおっているということを明らかにしました。この「Cosma2k」は、アゼルバイジャンのバクーの再販業者を利用してC&Cサーバを購入していており、この「Cosma2k」は、「cosma bot」というソフトウエアを配布していたことが明らかになりました。
マイクロソフトは、同8月5日略式判決を求めており、9月13日、James L. Robart判事が、欠席による差止命令をだしました。
これにより民事訴訟手続きとしては終結することになりました。法的なものについては、Battling the Rustock Threat を参照ください。
