JPCERT/CCの分析で浮上したボット、確認できなかったボット
JPCERT/CCの分析によると、Webアプリケーションの脆弱性を狙うボットが登場した一方で、報道で話題になった「P2P型ボット」の存在は確認できなかった。
JPCERTコーディネーションセンター(JPCERT/CC)のボット分析によると、クライアント側だけでなく、サーバ側、特にWebアプリケーションの脆弱性を狙うボットが登場しており、時期によっては攻撃全体の8割以上を占めることもあったという。一方で、現在主流のIRCの代わりにP2P通信を制御に利用する、いわゆる「P2P型ボット」については、その存在が確認されなかった。
JPCERT/CCは6月21日、「P2P型ボット分析レポート」「マルウェアの最近の傾向とウェブアプリケーションの脆弱性を狙うボットの実態」および「標的型攻撃について」という3種類のレポートを公表した。ボットやウイルスなど、最近のマルウェアの特徴や傾向についてまとめたものだ。
このレポートによると、2005年11月から2006年4月ごろにかけて、サーバ側の脆弱性を悪用する攻撃の増加が見られた。従来ボットといえば、Windows OSの脆弱性などクライアント側の脆弱性を突くものが多数派と見られていたが、一般にあまり知られていないPHPやアクセスログ解析プログラム「AWStats」の脆弱性を狙う「KAIGENT」「KAITEN」や「MARE」といったボットが登場し、実際に多数の攻撃が確認されたという。
ボットがWebアプリケーションの脆弱性を狙うようになった理由として、JPCERT/CCの早期警戒グループ、中谷昌幸氏は「Webアプリケーションを提供するためにTCP/80やTCP/443といったポートを開く必要があるが、こうしたポートを開ける以上はファイアウォールでの防御は困難だ。また、稼働中のWebサーバでは安定稼働が優先されるため、セキュリティパッチが適用されないことも多く、比較的古い脆弱性でもそのまま利用され得る」と述べている。
JPCERT/CC早期警戒グループの中谷昌幸氏「PHPの脆弱性に関する情報はたくさん公開されている。今後もPHPの脆弱性を狙った攻撃が起こる可能性がある」(中谷氏)
またウイルス全般の傾向として、銀行のアカウント情報よりも、リスクの少ないオンラインゲームやインスタントメッセンジャーのアカウントを狙うウイルスが増加していること、ウイルスのインストーラ/アップデータとして動作する「ダウンローダ」が増加し、検出や完全な駆除を困難にしていることも挙げられるという。
P2P型ボットは「調査時点では存在しない」
一方、P2P型ボット分析レポートでは、ボットのコントロールにP2P技術を利用する「P2P型ボット」の実態について分析した。
「Agobot」「W32.Nugache.A@mm」「Trojan.Peacom」(Stormワーム)という3種類の検体の挙動を、ソースコード解析およびリバースエンジニアリングによって分析したところ、「調査時点では、ボットの指揮系統をP2Pで実現したものは存在しなかった」(ラック先端技術開発部の新井悠氏)という。
ラック先端技術開発部の新井悠氏これまで行われてきたボット/ボットネット調査の結果、攻撃などの命令を下す手段として広くIRCが利用されていることが明らかになっていた。だが、IRCサーバを停止させればボットネットを解体に追い込むことが可能と考えられる。そこで攻撃者側は次の手段として、P2P技術を採用しつつあると指摘されていた。
だが今回の分析では、その危険性はまだ顕在化していないことが明らかになった。例えばAgobotのソースコードに含まれているP2Pによる指揮統制メカニズムは「試作」に過ぎないものだったし、W32.Nugache.A@mmに至ってはP2PではなくIRCを利用していることが明らかになった。
Trojan.Peacomについては、追加モジュールのダウンロードにP2P型通信ソフト「eDonkey」を利用することが分かったという。ただ、これはあくまでペイロードの運搬手段としてであり、指令そのものがP2Pネットワーク形式で伝わるわけではなかった。
新井氏はP2P型ボットについて、「ファイアウォールできちんとアウトバウンド通信を制御していればかいくぐることができないため、P2Pによるメリットはさほど享受できない」と述べ、攻撃側にとってもさほど魅力的なツールではないと指摘。現時点では、P2P型ボットの脅威は顕在化しているとは言い難いとした。
ただ一連の解析の結果、ボットをより「見えにくく」する工夫が発見されたのも事実だ。Trojan.Peacomでは、Rootkitを利用し、ウイルス対策ソフトによる検出を回避しようとする高度な自己隠蔽機能が実装されていることが明らかになった。また、ファイアウォールで止めてしまうわけにはいかないWeb(HTTPやHTTPS)を指揮統制に利用するボットが存在する可能性もあり、今後注意して見ていく必要があるという。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。