報道によれば、世界各国で大手企業や政府機関など膨大な数(1,300万台以上)のコンピュータに感染し、大規模ボットネットを構築していたマルウェア「Mariposa」(スペイン語で「蝶」の意味)に関与した疑いで、男3人がスペインで逮捕された。
セキュリティ企業各社がブログなどで伝えている。
Mariposa はカナダのセキュリティ企業Defence Intelligenceが2009年に発見し、「多数の大企業で感染している。」と伝えていたマルウェア(=不正プログラム)。
スペインのセキュリティ企業Panda Securityのブログによれば、同社とDefence Intelligence、アメリカのジョージア工科大学情報セキュリティセンター、アメリカ連邦捜査局(FBI)など各国の捜査当局やセキュリティ専門家で構成する対策組織「Mariposa Working Group」(MWG)が捜査と摘発に乗り出していた。
MWG は Mariposa に感染したコンピュータのネットワークを遠隔操作しているコマンド&コントロール(C&C)サーバを突き止め、Netkairo と呼ばれる人物がこれを操っている犯罪組織の首謀者であることを突き止めた。
そして、2009年12月には、MWG が Mariposa のコントロールを握ることに成功したという。
犯罪集団はそれまで、匿名VPNサービスを使って Mariposa のC&Cサーバにアクセスしていたため突き止めるのが難しかったが、首謀者の Netkairo は MWG に掌握された Mariposa を取り戻そうとする過程で、VPNを介さずにバスク地方の自宅の
から直接接続した。
これが端緒となり、今年2月にスペインの警察が Netkairo を名乗っていた31歳の男を逮捕した。
これは地元警察と、スペインのビルバオを拠点とする Panda Security、およびカナダのオンタリオ州オタワを拠点とするセキュリティ企業 Defence Intelligence による1年間に渡る調査を経て実現したものだ。
さらに、押収したの情報から、30歳と25歳の男2人を逮捕した。
容疑者は自分たちを『Nightmare Days (悪夢のような日) Team』と呼んでいたそうだ。
Netkairo の逮捕で押収された証拠品からは、80万人以上の被害者から盗んだとみられる情報が見つかったという。
加えて、調査の過程で1,200万ものIPアドレスが Mariposa のボットネットに接続されていたことが判明している。
セキュリティ専門家たちはクラッキングの容疑者3人について、「比較的未熟なサイバー犯罪者」と説明しているものの、被害は190ヶ国以上の企業や政府機関、家庭などのに及び、銀行口座情報やクレジットカード番号、パスワード、ソーシャルメディア サイトやオンライン Eメール サービスのアカウントへのログイン情報などの情報が盗み出されていたことが分かっている。
関係者によると、ボットネットはほぼ1年にわたって制約を受けることなく大いに活動したのち、2009年12月23日に終息したということだ。
Mariposa は計1,300万台以上のにアクセスし、史上最も広く影響を与え、最も破壊的なボットネットの1つとなった。
また、性質の悪いことに、犯罪集団はボットネットの一部を別の組織にレンタルしたり、盗んだ情報を転売したり、被害者の銀行口座から現金を盗み出すなどして利益を上げていたとみられ、MWG や捜査当局が現在も捜査を続行している。