マルウェアの総合デパート「ボット」の現状とは：DoS攻撃からスパム配信まで（1/2 ページ）

スパイ活動やシステム停止、スパム配信などさまざまなサイバー攻撃機能を持つ「ボット」の性能が向上している。

[國谷武史，ITmedia]

　コンピュータシステムを狙うDoS（サービス停止）攻撃や大量のスパムメール配信といったサイバー攻撃を仕掛ける「ボット」の脅威が高まっている。総務省と経済産業省のボット対策の連携プロジェクト「サイバークリーンセンター」が、その脅威の現状について解説している。

　ボットは、サイバー攻撃者などがユーザーに気付かれないようにコンピュータを不正操作するための作成したウイルス。ボットに感染したコンピュータは「ゾンビPC」などと呼ばれ、さらにスパム送信やウイルス拡散、個人情報などの盗聴、特定のシステムへの攻撃などを目的に不正プログラムがインストールされる。

　これらの攻撃は、多数のボットに感染したコンピュータのネットワーク「ボットネット」によって行われる。セキュリティベンダーなどの調査によれば、ボットネットの規模は世界で数万台規模のものもあれば、数百万台規模になるものも存在するといわれる。犯罪組織などから委託された第三者は、リモートから指令サーバを経由してボットネット上のそれぞれのコンピュータへ具体的な攻撃内容を命令する仕組みだ。

　サイバークリーンセンターの分析によれば、最近のボットはスパムメールの送信性能が1時間当たり1000〜2000通、多い場合には同2万通にもなる。送出するDNSのクエリ数は同1万〜2万で、この数値はボットに感染していないマシンの300倍以上にもなるという。

自己防衛するボット

　最近のボットで注目されるのが、「.com」や「.exe」「.pif」「.scr」の拡張子を持つファイルに感染するタイプ。このタイプのボットは、感染するファイルによってハッシュ値が変わるため、ウイルス対策ベンダーがパターンファイルを作成するのに時間を要するなどの問題を引き起こしている。

　また、2007年11月ごろから検出数が増加している「PE_VURUT」と呼ばれるウイルスは、感染ファイルにアクセスがあると他のファイルへ感染を広げる。CCCでは、PE_VURUTに感染したPCを再起動したところ800以上のファイルに感染が広がることを確認した。

　このほかにも、USBメモリなどの可搬型記録媒体から感染するウイルスが増えている。このタイプは、Autorun機能を悪用して不正プログラムを自動的に実行する。可搬型記録媒体をコンピュータに接続した段階で、一気にシステム全体やネットワーク上の別のマシンに感染を広げる。

ボットのお手軽作成

　ボットが増加する背景には、従来のようにコンピュータ被害の拡大で話題を集めることを目的とした愉快犯的な行動から、金銭取得やテロリズムなどなど特定の目的を持った活動に移りつつあるというのが、セキュリティ業界の定説となりつつある。セキュリティベンダーらは、不正に取得した個人情報をブラックマーケットで売買する、システムの「サービス障害を引き起こす」と恐喝して「身代金」を要求するといった手口を指摘している。

　CCCによれば、ボットなどのマルウェアを簡単に作成したいというニーズが高まっているとみられ、近年はプログラムコードの知識を持たなくともウィザードに従うだけで、マルウェアを作成できるツールが流通している。これらのツールは、ブラックマーケットにおいて30ドル程度で入手できるという。

　ボット感染を仕掛ける際には、ソフトウェアの脆弱性を突いてシステムの権限を奪取するものが多い。マルウェア作成ツールには、世界で使用されているソフトウェアだけなく、特定地域でのユーザーが多いソフトウェアを標的にした不正プログラムを作成できるものも存在する。