激化する悪質なボットネットとの戦いInterop Tokyo 2006(1/2 ページ)

Interop Tokyoのカンファレンスでは、最良の対策法がなかなか見つからないボットネットの脅威や最新の取り組みについて語られた。

» 2006年06月09日 11時15分 公開
[ITmedia]

 2001年ごろから登場した「ボット」は、2003年に入るとその感染数を拡大し、今やセキュリティパッチにボット対応コードが含まれない日はないといっても過言ではない。「Interop Tokyo 2006」で行われたカンファレンス「徹底検証:BOTネット対策2006」では、そうしたボットの脅威や対策についてセキュリティ企業の関係者がディスカッションを行った。

IRCサーバが落ちても別サーバでボットネットを再構築

 ボットの正確な定義はないが、一般的に感染PCに被害を加えたり感染PCを悪用してほかのPCを攻撃するマルウェアといわれている。ボットの特徴は、通常のウイルスやワームのように感染を拡大することだけが目的ではないという点だ。多くは、複数の感染PCを支配下に置き、「ボットネット」と呼ばれるネットワークを形成して、そのネットワークを通じて真の相手を攻撃するために利用されている。Telecom-ISAC Japan/NTTコミュニケーションズの小山覚氏は、実際にボットネットの環境を構築し、そこで得られた結果や感想を報告した。

Telecom-ISAC Japan/NTTコミュニケーションズの小山覚氏

 まず小山氏は、ボットネットを統括する「Herder(ハーダー:羊使いの意)」となるPCを立ち上げ、感染を広げるためのIRCマシンを数台、感染対象となるPCを100台近くで構成される仮想環境を構築した。ボットのソースコードはC++で記述されており、Googleで検索して入手し、設定をカスタマイズする。設定内容は、ボットにアクセスするためのパスワードやハーダーの認証パスワード、ボットの動作に関する設定など、非常にきめ細かく実施できる。

 設定が完了したら、次にハーダーとしてIRCサーバに接続して、PCを感染させるプログラム「種ボット」を埋め込み、ボットが自動的に感染を拡大するのを待つ。後は、感染PCに使用したいプログラムをインストールすれば完了だ。ボットネットが構築されたら、DDoS(分散サービス妨害)攻撃やスパム中継、情報収集といった攻撃活動を行えばよい。

ボットのパラメータ設定画面

 「何もしなくても勝手に感染を広めてくれる」と、その使用感に驚いた小山氏だが、それ以上に驚がくしたのはサーバが落とされたときの「バックアップ機能」だ。

 2005年12月23日にボット感染した日本のサーバがアメリカのプロバイダを攻撃するという事件があったが、発生から12時間後にはカリフォルニアの事業者へとサーバが移動するという現象が起こった。これについて検証したところ、「利用しているIRCサーバを止めたら、ハーダーやボットネットとの接続はいったん切れるものの、すぐに2台目のIRCサーバへと切り替えが行われ、それを中心としたボットネットが再構築された」(小山氏)という。「ボットネットは非常に優れたシステムで、それだけにわれわれセキュリティベンダーも真剣に対応していかないとまずいことになる」と小山氏は警告した。

「ボット感染するやつはバカ、金銭目的で踏み台にして当たり前」

 状態を悪化する要因の1つに、ボットネットを利用するクラッカーの目的が変質している点が挙げられる。インターネットセキュリティシステムズ(ISS)の高橋正和氏は典型的なボットネットのハーダー「0x80」を例に問題を提示した。0x80は、20か国以上に1万3000台の種ボットを管理し、1日約2分のボットネットのメンテナンスだけで月間平均6800ドル(約81万6000円)を稼いだ人物だ。アドウェアを感染PCにインストールし、さまざまな広告を表示させて稼いだという。「彼は今までの愉快犯的なPCオタクと違い、ボットに感染するやつはバカだから利用してやるというスタンスをとっている」と高橋氏は分析する。

ISSの高橋正和氏

 同様の傾向について、JPCERTコーディネーションセンターの伊藤友里恵氏も「ボットネットは金銭獲得のためのツールとして使われている」と同意し、ボットでゾンビPCを作り、2000ドルから3万ドルの価格で取引されるという事例を提示した。

JPCERTコーディネーションセンターの伊藤友里恵氏

 何よりも怖いのは、ボットは検出しづらく、駆除も難しいという点だ。トレンドマイクロの小屋晋吾氏は、2005年度の日本国内主要ISPの21社にてアクティブなボット数は約81万6000IPあるという結果を発表し、企業からの感染報告は2003年7月から12月の間に激増したと話す。理由は、先に述べたバックアップ機能もあるが、亜種が作成される速度が非常に速く、シグネチャで対応パッチを配布する前に「ウイルスやワームとは比にならない量の亜種」(小屋氏)が出回ってしまう。そのため、ウイルスとして検出しづらく、ユーザーはボットの存在すら気づかないケースが多々あると小屋氏は懸念を示した。

トレンドマイクロの小屋晋吾氏
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ