ボットにも悪用されるExploit、その傾向を探る：年末緊急特番！ボットネット対策のすすめ（3/3 ページ）

[高橋晶子，ITmedia]

　日本時間の2005年8月10日、「Windows プラグアンドプレイサービスの脆弱性（MS05-039）」に関するセキュリティ情報とパッチが公開された。

　そのわずか2日後の8月12日、セキュリティ関連情報が寄せられるFull-Disclosureメーリングリストに、最初のExploitが投稿された。さらにその2日後には、ボット機能を備えた「Zotob」ワームが出現した。

　その後も、MS05-039を悪用するワーム／ボットは登場し続ける。2カ月後の2005年10月には、この脆弱性を利用する「Mocbot」という新たなIRCボットが出現した。このボットは、「wudpcom.exe」というファイル名でPC内に自身をコピーする。活動時には、以下のIRCサーバに接続し、特定のIRCチャネルに「join」してハーダー（指令者）の命令を待つ仕組みだ（関連記事）。

• bbjj.househot.com
• ypgw.wallloan.com

　Mocbotが持つ機能としては、SYN／UDP Flood DoSといった「攻撃機能」のほか、ファイルのダウンロード、コマンドシェルの実行などが挙げられる。また、周囲への感染を広めるため、同じくMS05-039の脆弱性を持つシステムのスキャンおよびExploitなどの機能も備えている。

　また2006年8月の月例パッチで修正された「Microsoft WindowsのServerサービス脆弱性（MS06-040）」の場合は、パッチリリースの翌日にはexploitコードが一般に公開された。さらに、そのわずか数日後にはこの公開コードを利用したマルウェアが複数出現している。

　これらのマルウェアはMS05-039を使用したMocbotの亜種だ。「wgareg.exe」または「wgavm.exe」というファイル名で自身を登録し、システムをボットネットに追加する。しかも興味深いことにこれらのボットは、2005年10月に登場したMocbotと同じIRCサーバと制御チャネル、コマンドセットを利用する。

　LURHQの調査によると、Mocbotの亜種は、出現当初の段階ではほとんどのアンチウイルス製品で検出不可能だった。後の調査によって、Mocbotの最終目的はスパム送信であることが確認された。

　こうした事例からも分かるとおり、ベンダーがパッチをリリースしてからExploitが出現し、ボットをはじめとするマルウェアに転用されるまでの期間はますます短縮化している。さらに、ゼロデイを利用して標的型（ターゲット型）攻撃用にマルウェアを作成する事例も現れてきている。また、記事で紹介したとおり、組み込み機器を狙うExploitが急激に増加していることから、今後は組み込み機器を対象とした攻撃、マルウェアの出現も十分考えられる。

　Exploitから転化したマルウェア全般の特徴として、亜種の出現が非常に早く、またその数が多いことが挙げられる。このため、アンチウイルスソフトのみでの対策は困難な状況だ。迅速なパッチの適用、市販のパーソナルファイアウォールによる対策など、複数の手段を組み合わせた多層的な保護が必要になるだろう。

高橋晶子

住商情報システム シニアエンジニア。eEyeソリューションの技術責任者として、国内における展開を推進。また、eEye Research Teamのアドバイザリーやアラートの日本語版を国内に情報発信している。海外の脆弱性やExploitの情報をウォッチし、傾向分析に携わっている。