【ITニュース解説】SystemBC Powers REM Proxy With 1,500 Daily VPS Victims Across 80 C2 Servers

今回のニュースは、「SystemBC」と呼ばれるマルウェアが「REM Proxy」というプロキシネットワークの基盤となり、毎日1,500台ものVPS（仮想プライベートサーバー）がその被害に遭い、80のC2（コマンド＆コントロール）サーバーが関与しているという深刻な内容を伝えている。システムエンジニアを目指す上で、このようなサイバー攻撃の手法やその仕組みを理解することは、将来システムを設計・構築・運用する上で非常に重要となる。

まず、「SystemBC」とは何かを解説する。これは特定の種類の悪意のあるソフトウェア、つまりマルウェアの一種である。SystemBCは、感染したコンピュータにバックドア（裏口）を作成する機能を持っている。バックドアとは、正規の認証プロセスを経ずにシステムに侵入できる抜け道のようなもので、攻撃者はこれを利用して、感染したコンピュータを遠隔から操作できるようになる。さらに、SystemBCは感染したコンピュータをプロキシサーバーとして機能させる能力も持つ。プロキシサーバーとは、インターネット上の通信において、クライアント（利用者のコンピュータ）とサーバー（Webサイトなど）の間に立って通信を中継するサーバーのことである。悪用されたプロキシは、攻撃者の身元を隠すための隠れ蓑として使われる。

次に、「REM Proxy」とは何か。これはSystemBCによって感染した多数のコンピュータを束ねて構築された大規模なプロキシネットワークである。SystemBCが感染させた各コンピュータがプロキシとして機能するため、REM Proxyは非常に多くのIPアドレス（インターネット上の住所に当たるもの）を使って、様々な通信を中継することが可能となる。ニュース記事によると、このネットワークはボットネット（マルウェアに感染したコンピュータの集団）の約80%をユーザーに提供しているという。これは、REM Proxyの利用者が、感染した多くのコンピュータの通信中継能力を借りて、自身の通信を匿名化したり、悪意のある活動を実行したりできることを意味する。

なぜ、このようなプロキシネットワークが悪用されるのか。その主な目的は「匿名化」と「リソースの悪用」である。攻撃者は、REM Proxyを経由して通信を行うことで、自身の本当のIPアドレスを隠し、追跡を非常に困難にする。これにより、スパムメールの送信、DDoS攻撃（大量の通信で特定のサーバーをダウンさせる攻撃）、不正アクセス、オンライン詐欺、クレデンシャルスタッフィング（盗んだユーザー名とパスワードの組み合わせを大量に試す攻撃）など、様々なサイバー犯罪活動を検出されにくい形で行うことができる。

「毎日1,500台ものVPSが犠牲になっている」という記述は、この脅威の規模の大きさを物語っている。VPS（Virtual Private Server）は、一台の物理サーバー上に複数の仮想的なサーバー環境を構築するサービスであり、比較的安価で高性能なため、個人開発者から中小企業まで幅広く利用されている。SystemBCは、このようなVPSを標的に感染を広げている。なぜVPSが狙われるかというと、一般的にVPSはインターネットに常に接続されており、安定稼働しているため、プロキシサーバーとして利用するのに非常に都合が良いからである。VPSが感染すると、その計算資源やネットワーク帯域が悪用され、正規の利用者はパフォーマンスの低下や意図しない通信の発生に悩まされることになる。

「80のC2サーバー」とは、SystemBCマルウェアやREM Proxyネットワークを制御するための司令塔となるサーバーのことである。C2サーバーは、感染したコンピュータ（ボット）に対して指令を送ったり、集めた情報を収集したりする役割を担う。攻撃者はこれらのC2サーバーを通じて、遠隔からマルウェアの動作を指示し、プロキシネットワーク全体の運用を管理している。これだけ多数のC2サーバーが使われているということは、ネットワークが非常に大規模かつ分散的で、一部が停止しても全体が機能し続けるような耐障害性の高い設計になっていることを示唆している。

さらに、REM Proxyは「20,000台のMikrotikルーター」や「オンラインで自由に利用可能な様々なオープンプロキシ」も提供していると報じられている。Mikrotikルーターは、ネットワーク機器の一種で、企業ネットワークやISP（インターネットサービスプロバイダ）でも利用されることがある。このようなネットワーク機器がSystemBCのようなマルウェアに感染し、プロキシとして悪用されると、非常に広範囲な通信に影響を及ぼす可能性がある。ルーターはネットワークの出入り口に位置するため、これが悪用されれば、そのルーターを通過する全ての通信が悪意のある目的で利用されてしまう危険性があるのだ。また、「オープンプロキシ」とは、インターネット上に公開されており、誰でも自由に利用できるプロキシサーバーのことである。これらもまた、攻撃者が自身の身元を隠すために利用したり、悪意のあるトラフィックを中継するために利用されたりすることがある。正規の管理者によって適切に管理されていないオープンプロキシは、それ自体がセキュリティ上のリスクとなる場合が多い。

このニュースから、システムエンジニアを目指す初心者が学ぶべき重要な教訓はいくつかある。第一に、マルウェアは常に進化しており、ネットワークインフラの様々な要素を悪用して活動していること。SystemBCのように、プロキシ機能を持つマルウェアは、直接的なデータ窃盗だけでなく、間接的にサイバー犯罪活動を支援する「インフラ」として機能し得る。第二に、VPSやルーターといったシステムやネットワーク機器の適切な管理が不可欠であること。OSやソフトウェアの脆弱性を修正するパッチの適用を怠ったり、初期設定のままの弱いパスワードを使用したりすると、SystemBCのようなマルウェアに容易に感染し、自身の管理するリソースが悪用されてしまう。第三に、ネットワーク通信の監視の重要性である。不審な通信パターンや普段と異なるトラフィックがないか常に監視することで、早期に感染や不正利用の兆候を検知できる可能性がある。

Lumen TechnologiesのBlack Lotus Labsチームによる今回の発見は、サイバーセキュリティの脅威がどれほど複雑で大規模になり得るかを示している。単一のマルウェアが、多数の被害システムを利用して巨大な犯罪インフラを構築し、それをさらに他のサイバー犯罪者に提供するというエコシステムが形成されているのだ。システムエンジニアとして、このような脅威のメカニズムを深く理解し、自身の担当するシステムやネットワークを堅牢に保つための知識と技術を磨き続けることが、今後のデジタル社会においては不可欠である。セキュリティは、システム設計の初期段階から運用に至るまで、常に考慮すべき最重要項目の一つなのである。