広義のウイルスのひとつに、ボット(BOT)と呼ばれる悪質なプログラムがある。ボットはロボットの略で、日本語の語感でいうなら、人に言われるままに動く「操り人形」といったところだろうか。つまりボットは、あなたのパソコンをロボット化し、外部から意のままに操ろうとするプログラムだ。
ボットに感染したパソコンはすでに数百万以上といわれ、この膨大な数の感染パソコンが、悪意ある外部からの指示を一斉に実行してしまうため、深刻な問題が起きている。あなたのパソコンも、ひとたびボットに感染すれば、悪の手先となってネットを荒らしまわる可能性がある。いや、もしかしてすでに感染し、操られている可能性も。
ボット感染によってどんな被害が発生しているのか、感染しないためにはどうすればいいか、その実態と対策をまとめてみた。
<INDEX>
■ ボットとは~システムの奥底に潜んで攻撃指示を静かに待つ
■ ボットとは~あらゆる悪事に加担する悪魔のプログラム
★ コラム:標的型攻撃
■ ボット感染PC悪行の数々(1) ~スパムメール、ウイルス配布、フィッシング
■ ボット感染PC悪行の数々(2) ~DoS攻撃、脆弱性攻撃、スパイ活動
■ ボット感染が拡大する背景 ~大きな富を生み出すカラクリ
■ ボット感染を防ぐには/ボットに感染してしまったら
<本文>
IPAが3月に公開した「近年の標的型攻撃に関する調査研究」の調査報告書の中に、年末から年始にかけて猛威をふるった、通称「Storm(ストーム)ワーム」と呼ばれるボットの挙動を解説したページがある。
Stormワームは、かつては悪質なプログラム本体をメールに添付し、ユーザーにそれを開かせようと(実行させようと)した。最近のStormには添付ファイルなどはなく、メールに記載したリンク先にアクセスさせ、ウェブサイトに上に置いたプログラムを実行させるやり方で、パソコンに侵入しようとする。
IPAの報告書によれば、侵入(実行)したプログラムには、自身を隠すためのルートキット機能や、外部と連絡をとるためのP2P(Peer to Peer)通信機能、スパムの送信機能、ファイルをダウンロードするためのFTP通信機能、IFRAMEタグを埋め込む機能などが備わっているという。
これらの機能を使って、Stormはいったい何をしようというのだろうか。機能からはスパムを送りそうな気配が漂うが、実は特に表立った悪さを始めるというわけではなく、自分自身を隠してP2P通信を開始するだけらしい。システムの奥底に潜み、ボットファミリーのネットワーク「ボットネット」に参加して、攻撃者からの指示を静かに待っているのだ。
そんな奥ゆかしい(?)性格なので、ユーザーは感染したことに気づきにくい。ところが、ひとたび指示を受けると、その性格は一変する。
・「近年の標的型攻撃に関する調査研」調査報告書の公開について(IPA)
http://www.ipa.go.jp/security/fy19/reports/sequential/index.html
ひとたび外部の攻撃者から指示を受けると、真の主(あなた)が使用しているパソコンの裏側で、ボットは好き勝手なことを始める。標準装備のスパム機能はもちろんだが、ダウンロード機能を使って外部から任意のプログラムをダウンロード・実行することができるので、追加プログラム次第で何でもできてしまうのが怖いところ。おとなしそうなのは、その時が来るまでの仮の姿で、ひと皮むけば、あらゆる悪事に加担することのできる、まさに悪魔のプログラムと言える。
ただし、悪事を働くといっても、「お前はもう死んでいる」などというウインドウを開いてファイルを削除しまくるというような、派手なふるまいは決してしない。数万~数百万ともいわれる大量の仲間たちと共同で悪事を働くため、個々の感染パソコンは悪さをしている間もそれほど派手な動きは見せないのだ。感染していることに気づかれないように、密かに活動するのも彼らの特徴であり、感染後もなかなか発覚しにくい。
-----------------------------------------------------------------------------
★コラム:標的型攻撃
広範囲を標的とした無差別な攻撃に対して、特定の企業や組織など狙う攻撃のことを標的型攻撃という。英語では「Targeted Attack」といい、ターゲットアタック、ターゲット型攻撃などと訳されることもある。IPAの報告書では、この標的型攻撃に使われる悪質なプログラムと比較する目的で、無差別攻撃型のボットについての解析を行っている
ターゲット型攻撃としばしば混同されるものに、スピアー型攻撃という用語がある。こちらは、偽サイトを使って個人情報などを盗み取るフィッシングの標的型攻撃版で、スピアーフィッシング、あるいはスピアー型フィッシング攻撃としておくと間違いがない。フィッシング詐欺の「Phishing」は、魚釣りの「Fishing」をもじったもの。狙った魚をもり(やす)で突いて獲る漁法は特に「Spearfishing」と呼んでおり、これをもじったのが、特定の相手を狙う標的型のフィッシング詐欺「Spear Pishing」というわけだ。
------------------------------------------------------------------------------
■ ボット感染PC悪行の数々(1) ~スパムメール、ウイルス配布、フィッシング
総務省と経済産業省が2006年12月に共同で立ち上げた「サイバークリーンセンター」が、おとりマシン(ハニーポット)を使って収集したボットの数は、今年1月までに653万4,844体。重複分を除く同定検体数は15万9,683体となった。そんなボットたちに感染したパソコンではいったい何が起きてしまうのか。感染パソコン上で繰り広げられる悪行の数々を見てみよう。
<スパムメール>
先のIPAの調査報告書にも出てきたStormは、四季折々の話題をしたためたスパムメールを使って感染活動を行う。このスパムメールは、専用の配信サーバーを使って送っているのではなく、世界中の感染パソコンに指示を出し送らせているのだ。
感染活動を展開するのは、配下の感染パソコンを増強するため。1台のパソコンに何万通ものスパム送らせると、時間もかかるし気づかれてしまうが、数万台のパソコンを使えば気づかれることなく瞬時に、大量のスパム配信ができる。ボットネットは、スパマー垂涎のスパム配信システムでもあるのだ。
<ウイルス配布>
Stormの感染活動は、スパムメールを使ってユーザーをウェブサイトに誘い出し感染させようとする。ウイルスは、以前なら既存のウェブサイトに仕掛けるケースもあったが、最近は感染パソコンにホスティングさせるケースが目立つ。あなたのパソコンが、勝手にインターネット上にホームページを開き、ウイルス配布を始めてしまうのだ。特定のサーバーでウイルスを配布しているのであれば、かわすこともサイトを閉鎖させることも可能だが、世界中に散らばっているユーザーのパソコンが次々にホスティングを始めてしまうのだから、もはや手が付けられない状態となってしまう。
配布するのは、自分自身とは限らない。アドウェアなどの他の悪質なプログラムを配布することによって、直接収入を得ることも可能だ。
<フィッシング>
ホスティングするのは、ウイルスだけにとどまらない。感染パソコンに、どこかの銀行のログイン画面を仕込めば、たちどころにフィッシングサイトの出来上がり。世界中にある大量の感染パソコンを操れば、メールの配信から偽サイトの用意、詐取した情報の回収までが意のままに行える。既存のサイトに仕込むのと違い神出鬼没の偽サイトがそこいら中に出現するので、元を断って終了というわけにもいかない。フィッシャーにとっては、最小限のリスクで最大限の効果が得られそうな、理想的フィッシングシステムということになる。実際、慢性的に発生しているフィッシングの中には、ボット化されたユーザーのパソコン上に作られた偽サイトも多い。
■ ボット感染PC悪行の数々(2) ~DoS攻撃、脆弱性攻撃、スパイ活動
<DoS攻撃>
DoS(Denial of Service:サービス拒否)攻撃は、特定のウェブサーバーに大量のパケットを送るなどして、正常なサービスが提供できないようにする攻撃のこと。特定のサイトにアクセスが集中すると、サイト重くなったり、全く表示できなくなることがあるが、これを人為的に行う妨害行為である。数万~数百万台のボットが特定のサイトに一斉送信すれば、たちどころにこの状態に陥れることができる。特定のサイトに対する単なる妨害や嫌がらせの場合もあるが、DoS攻撃をちらつかせて運営者に金銭を要求するという恐喝事件が内外で起きている。
<脆弱性攻撃>
セキュリティ上の問題につながるソフトウェアやハードウェアの欠陥を脆弱性(ぜいじゃくせい)という。システムに脆弱性があれば、そこから侵入されたり、サイトを改ざんされたりといった攻撃を受ける。ウェブサイトなどをひとつひとつチェックしていくのは、手間も時間もリスクも膨大なものになってしまうが、これも大量のボットたちに手分けしてやらせれば、短時間で大きな成果が得られる可能性が高い。どこまでがボットの仕業なのかは定かではないが、実際に脆弱性を突いて悪質なプログラムを仕掛けたり、訪問者を悪質なサイトに誘導すべくサイトを改ざんしたりといった攻撃がしばしば報告されている。
<スパイ活動>
ボットは、情報を盗み出すスパイ活動を行うこともある。攻撃者にとって有用な多くのパソコンに共通する情報といえば、銀行などのログイン情報やクレジットカード番号などだろうか。メールアドレスを収集して、新たなスパム配信先に加えるという手もある。ボットは命令ひとつで何でもできるため、いつ、どのような情報が盗み出されるのかは予想がつかない。たまたま感染したあなたのパソコンに金目の情報が入っていそうなことに気づいたら、攻撃者は根こそぎそれらを外部に送信してしまうかも知れない。
ボットは、今も活発な感染活動を展開しながら、その勢力を広げようとしている。意のままに操ることのできる巨大なボットネットは、金銭がらみのさまざまなネット犯罪に利用でき、大きな富を生み出してくれるからだ。それらは、ボットネットの運用者が自らが手を下すケースもあるが、闇の世界では、ボットネットそのものをレンタルして稼ぐ運用者たちもいるという。
カナダのケベック州で2月20日、ボットネットを運用していた17歳から26歳の男女17人が逮捕された。彼らは、世界100か国以上におよぶ100万台近い感染パソコンを管理下に置き、4,500万ドル以上の損害を与えた疑いが持たれている。
・Botnet Bust in Canada[英文](McAfee Avert Labs Blog)
http://www.avertlabs.com/research/blog/index.php/2008/02/21/botnet-bust-in-canada/
・ケベック州警察の発表(ページは仏語だが英文ドキュメントもあり)
http://www.sq.gouv.qc.ca/actualites-sq.jsp#pageDemandee=1
ボットはウイルスの一種であり、通常のウイルス対策と同じ防御策が有効だ。感染防止のためには、次の5つの対策をとっておこう。
1) OSや使用しているソフトを常に最新の状態にし、脆弱性攻撃を受けないようにする。
2) 信頼できないサイトやメール、ファイルは開かず、信頼できないリンクも決してクリックしない。
3) ウイルス対策ソフトを導入し、常に最新の定義ファイルを適用する。
4)「Windowsファイアウォール」などの不正な通信を防御する機能を有効にする。
5) インターネットとパソコンの間にルーターを設置し、外部からの直接攻撃を遮断する。
前述のサイバークリーンセンターではボット対策の一環として、収集したボット検体を利用した無料の検出・駆除ソフト「CCCクリーナー」の作成と配布も行っている(Windows 2000/XP/Vista/Server 2003用)。無料のウイルス診断もある。ウイルス対策ソフトをまだ導入されていない方は、いちど試してみるとよいかもしれない。
ただし、いずれも実行時にチェックを行うだけの応急措置的なものなので注意が必要だ。基本は、パソコンに常駐して常にウイルスの侵入を監視していてくれる、ウイルス対策ソフトの導入をお勧めする。
・サイバークリーンセンター
https://www.ccc.go.jp/
(執筆:現代フォーラム/鈴木)