Mocbotを追え――ボットネット調査が浮き彫りにする攻撃者の狙い（2/2 ページ）

[Ryan Naraine，eWEEK]

　この2つ目のファイルはスパムプロキシ型のトロイの木馬で「Win32.Ranky.fv」という名称が付けられている。

　「感染を広げるためのスキームの全容は、スパムを送信するという単純な機能に集約されている。このプロキシ型トロイ自体も、一種のボットと言ってよいだろう。感染マシンのIPアドレスとスパム送信に悪用するsocksポート番号を、ボットマスターに知らせているのだ」（スチュワート氏）

　スチュワート氏は、攻撃行動の実態を内側から観察するために、再びテストマシンにスパムプロキシ型トロイの木馬を感染させ、プロキシネットワークに侵入した。

　このsandnetを活用して調査を行ったところ、「yu.haxx.biz」というアドレス宛に、トロイの木馬が4バイトのUDPパケットを送信していることがわかった。

　そこでスチュワート氏は、ブラックホール的にパケットを受け取るSMTPサーバにデータを送信する偽のsocksプロキシを用意し、インターネット接続ネットワーク上でこの動作を再現し、プロキシネットワークへの侵入を図った。

　このネットワークの観察を始めてすぐ、「膨大な数のスパムがsocksサーバを経由していく様子が確認できた」（スチュワート氏）という。これらのスパムは複数のIPアドレスから発信されていたが、発信者のアドレスは偽装されていた。

　ボットに組み入れられたWindowsデスクトップが送りつけるスパム電子メールには、ありとあらゆる典型的なジャンクメールが含まれていたと、スチュワート氏は説明する。

　ポルノから偽物のロレックス時計、さらには医薬品まで、多種多様な広告メールがやり取りされていたそうだ。

　「これらの攻撃はある理由から、小規模かつターゲットが絞り込まれたものであるように見える。監視の目をかいくぐる工夫が施されているのだ。小さなボットネットを構築して小金を稼ぐことが、彼らの至上目標となっている。攻撃者自身がスパマーとして暗躍していたり、詐欺的な行為を働いていたりする場合もあるし、スパマーにボットネットを貸し出している場合もある」（スチュワート氏）

　「彼らの『ビジネスモデル』は、非常に大きな成果を上げている。もっとも、利益を生み出すことができなければ、ここまで攻撃が大規模化することはなかっただろう」（スチュワート氏）

　LURHQの研究者らは、昨今の攻撃実態を鑑みるに、企業や消費者は既存のウイルス対策ソフトウェアに依存している現状を見直さなければならないと警告している。

　Mocbotによる攻撃の初段階でマルウェアの存在を検知できたのは、スチュワート氏の調査チームが検証したウイルス対策ソフトウェアのうち、わずかに3分の1程度だったという。

　「Mocbotは、ここ数カ月の間に登場したボットネットの亜種の中でも影響力の小さいものだが、ほとんどのウイルス対策ソフトウェアがこれを見逃してしまった」（スチュワート氏）

　攻撃の二段階目で、ボットネットが実行可能なトロイの木馬をダウンロードさせる指示を出している点は、さらに大きな懸念材料だと同氏は述べる。

　「今回調査した攻撃では、二段階目にスパムプロキシ型トロイの木馬が用いられているが、これがrootkitであれば、問題はさらに深刻化しただろう。最近のrootkitは非常に精巧な作りになっており、一般的にマシンの検査や検疫に使用されているプログラムでは発見できない。スパマーがrootkitを悪用し、攻撃の痕跡を永遠に隠してしまう可能性は十分に残っている」（スチュワート氏）

　「こうした攻撃を受けた場合は、マシンの再構成および再フォーマットを検討せざるをえないところまで来ている。使用中のセキュリティソフトウェアではボットネットの動きを監視できず、無効化されている具体的な機能を把握できなければ、マルウェアは検知されないまま永続的に活動を続けることになる」（スチュワート氏）

　スチュワート氏は、「まずは感染しないこと」が何より重要だと指摘した。IT管理者は、ファイアウォールやウイルス対策ソフトウェア、システム強化などの対策を取りながら、緊急レベルのパッチを早急に適用し、マルウェアに対する防御レベルを一定に保つことが大切であると、同氏は忠告している。

原文へのリンク