ウイルスに感染したパソコンが外部から遠隔操作され、犯罪予告の投稿などを勝手に行い、何もしていないパソコンの持ち主が逮捕されるという事件が相次いだ。使われた遠隔操作ウイルスはボット(BOT)と称される悪質なプログラムのことで、感染するとパソコンが乗っ取られ、知らない間に第三者に勝手に操作されてしまう。ボットが仕掛ける数々の悪行を知り、感染しない対策を徹底しよう。
<INDEX>
■ボットを知るための基礎用語
・マルウェア、ウイルス、ワーム、トロイの木馬
・ボット、ゾンビ、C&Cサーバー、ハダー、バックドア
■ゾンビパソコンの悪行
・迷惑メールの送信
・ウイルス配布のホスティング
・フィッシングサイトのホスティング
・Webサイトの攻撃
・スパイ活動
ボット感染を防ぐには
・感染を防ぐ5つの方法
・「ユーザーによる実行」を防ぐ
・「システムの機能を悪用した自動実行」を防ぐ
・「脆弱性を悪用した不正実行」を防ぐ
・ウイルス対策ソフトとファイアウォール
<本文>
ウイルスに感染したパソコンが外部から遠隔操作され、犯罪を予告する投稿やメール送信を勝手に行い、パソコンの持ち主が逮捕されるという事件が相次いだ。身に覚えのない嫌疑をかけられ、わかっているだけでも3人(他の手法によるものを含むと4人)が逮捕され、起訴や保護観察処分にまで及んでしまった。
犯行に利用されたウイルスは、メディアにより「遠隔操作ウイルス」などと呼ばれているが、目新しいものではない。ユーザーのパソコンを悪用するために仕掛けられる、遠隔操作用の悪質なプログラム「ボット(BOT)」のことだ。ボットに感染するとパソコンが乗っ取られ、知らない間に第三者に勝手に操作されてしまう。犯罪予告だけに留まらない、ボットが実際に仕掛けている数々の悪行の恐ろしさを知り、感染しない対策を徹底しよう。
■ボットを知るための基礎用語
ボットを理解するために、一連の報道にもしばしば登場した基本的な用語を整理しておこう。
・マルウェア、ウイルス、ワーム、トロイの木馬
パソコンに何らかの被害をもたらす悪質なソフトウェアを総称する呼び名に、「マルウェア(malware)」というものがある。これは、悪意のあるソフトウェアという意味の「MALicious softWARE」から作られた造語だが、一般には、それ以前からあった「ウイルス」が総称として使われており、本稿でもウイルスを総称として用いる。
ちなみにウイルスの本来の意味は、宿主に寄生しながら感染を広げていく生物のウイルスと同じように、自身を他のプログラムに埋め込んで感染を広げていくファイル感染型のものを指す。感染形態での分類には、ネットワークを介して感染を広げていくタイプをワーム(worm)、有用なアプリに見せかけるなどして、ユーザー自身に実行させて感染するタイプをトロイの木馬という呼び名がある。
・ボット、ゾンビ、C&Cサーバー、ハダー、バックドア
今回の事件の元凶となったウイルスは、遠隔操作でロボットのように操るところからボットと呼ばれているが、広義でのボットは操作を自動化するソフトウェア全般を指す。ちなみにウイルスのボットに感染し、遠隔操作が可能な状態になったパソコンをゾンビ、多数のゾンビパソコンで構成したネットワークをボットネット、ボットネットの司令塔となるサーバーをC&Cサーバー(Command and Control server)、ボットネットを操る者をボットハーダー(bot herder)と呼んでいる。
ボットに感染したパソコンは、ゾンビ化したことを知らせたり、指令を受け取ったりするために外部と通信を行う。そのために用意する通信経路のことを、バックドアと呼ぶ。通信にはインターネットを使用するが、正規のものではなく、無断で開く裏口というわけだ。
■ゾンビパソコンの悪行
ボットに感染しても、すぐに何かが起きるとは限らない。むしろ、目に見えるような変化が起きることは少なく、バックドアを開いて静かにボットハーダーからの指示を待つ。派手な振る舞いはせずにじっと潜伏しているため、ユーザーが感染したことに気づきにくいことも、ボットの大きな特徴だ。そしてひとたび指示を受けると、さまざまな悪行を仕出かす。
ボットハーダーの手先となって直接悪事を働くのは、操られたユーザーのパソコンなので、通信経路をたどってきた警察が行き着くのは、その持ち主のところだ。感染していることが分からなかったり、ボット自身が自分を削除して証拠隠滅を図ったりすると、見た目はユーザーが行った犯行のように見えてしまうため、真犯人の存在に気付かないままユーザーに嫌疑がかけられてしまう。
今回話題になったのは掲示板などへの犯罪予告の投稿だが、ボットの悪行はそれに留まらない。これまでにネット上で繰り広げられた、ゾンビパソコンによる悪行の数々を見てみることにしよう。
・迷惑メールの送信
ゾンビパソコンは、さまざまな迷惑メールの配信に悪用される。1台のパソコンで大量のメールを送ろうとすると、時間がかかり気づかれてしまうおそれがあるが、大量のゾンビパソコンに分散して送信させると、気づかれることなく短時間で大量の迷惑メールを配信できる。マカフィーの2012年第2四半期の脅威レポート(注1)によれば、ボットネットを使った迷惑メールの配信は一般的になってきており、毎月数千から1万数千台の日本国内のゾンビパソコンが、迷惑メールの配信元として観測されているという。
・ウイルス配布のホスティング
ゾンビパソコンが送る代表的な迷惑メールのひとつが、自身を拡散するために送るウイルスメールだ。直接収入を得るために、アフィリエイトの偽セキュリティソフトなど他の悪質なプログラムを配布することもある。
ウイルスメールには、自身を添付ファイルとして送りつけるタイプと、リンクをクリックさせてWebサイトに誘導するタイプがある。サイト誘導型では、誘導先のサーバーや中継サーバーにも、ゾンビパソコンがよく使われている。起動したユーザーのパソコンが、勝手にWebサーバーにさせられてしまうのだ。
ゾンビパソコンを悪用できるタイミングはユーザー次第なので、1台にホストを任せるようなことはしない。世界中に散らばっているゾンビパソコンの中から適当なものを見つくろい、短時間で次々と切り替えながら、ホスティングを続ける。
・フィッシングサイトのホスティング
ホスティングするのは、ウイルスだけではない。ゾンビパソコンに銀行などの偽のログインページを仕込めば、たちどころにフィッシングサイトに変わる。世界中にある大量のゾンビパソコンを操れば、メールの配信から偽サイトの運用、だまし取った情報の回収までが意のままに行える。大量のゾンビパソコンが次々と偽サイトをホストしていくため、既存のサーバーやWebサイトに仕掛けられた偽サイトよりも停止が難しくなるという、フィッシングを仕掛けるフィッシャーにとっての利点もある。
・Webサイトの攻撃
特定のWebサイトに大量のアクセスを繰り返すなどして、閲覧障害やサーバーのダウンを引き起こし、サイトの運営を妨害する攻撃がしばしば行われる。この種の攻撃をDoS(Denial of Service:サービス拒否)攻撃といい、複数の攻撃元が一斉に行うタイプをDDoS(Distributed DoS:分散DoS)という。このDDoS攻撃にも、ゾンビパソコンが悪用されることがある。大量のゾンビパソコンを操って特定のサイトに一斉にアクセスさせれば、たちどころに閲覧障害が起きる仕掛けだ。直接攻撃を行っているのは一般ユーザーのパソコンなので、通常のアクセスなのか攻撃なのかの区別もなかなかつかない。中には、DoS攻撃を解決するなどといって、金銭を要求する恐喝事件も内外で起きている。
・スパイ活動
ボットは、潜伏先のパソコンから情報を盗み出すスパイ活動を行うこともある。銀行などのログイン情報やクレジットカード番号などは、収益につながる有用な情報だし、お金になりそうな機密情報もあるかもしれない。アドレス帳からメールアドレスを収集し、迷惑メールの配信先にしてしまうこともある。
以上、ボットに感染したゾンビパソコンの代表的な悪用例を紹介した。ボットにはこのほか、自身をアップデートしたり、外部から別のプログラムをダウンロードしてインストールしたりする機能も備えており、最初はこの機能だけを備えているケースも珍しくない。アプリの新規導入やアップデートによってパソコンにさまざまな機能を持たせられるように、ボットもまたボットハーダーの命令ひとつで進化する。ボットに感染すると何が起きるのかは、攻撃者次第なのだ。
■ボット感染を防ぐには
・感染を防ぐ5つの方法
ボットはウイルスの一種なので、通常のウイルス対策と同じく、以下のような防御策が有効となる。
(1)OSや使用しているソフトを常に最新の状態にし、脆弱性攻撃を受けないようにする
(2)信頼できるアプリケーション以外はインストールしない
(3)信頼できるサイトやメール、ファイル以外は開かず、むやみにリンクをクリックしない
(4)ウイルス対策ソフトを導入し、常に最新の定義ファイルを適用する
(5)不正な通信を防御するファイアウォールを使う
コンピュータウイルスはアプリケーションなどと同じプログラムなので、生物のウイルスと違い、「実行」しない限り何も起きない。一般的なプログラム実行方法には、「ユーザーによる実行」と、「システムの機能を使った自動実行」の2通りがある。ウイルスの場合は、これに「システムやアプリケーションの欠陥を悪用した不正な実行」が加わる。
・「ユーザーによる実行」を防ぐ
一連の犯罪予告事件では、「ユーザーによる実行」が悪用された。掲示板で有用なアプリとして紹介されていたものの正体がウイルスだったため、だまされてダウンロードし実行してしまった人が感染した。上記の「感染を防ぐ5つの方法」の(2)と(3)を徹底すると、このような事態を回避できる。信頼できるかどうかをどうやって見分けるかは、来月のトピックスで詳しく紹介することとしたい。
・「システムの機能を悪用した自動実行」を防ぐ
システムの機能を使った自動実行の悪用は、おもに感染後のウイルスが自身をパソコンの起動時に実行させるために用いられる。本来は、システムの起動時に必要なプログラムなどを実行するための機能だが、ひとたび感染してしまうと、ウイルスがシステムの設定に手を加え、起動シーケンスの中に自身を加えてしまう。
システムの自動実行には、このほかにCD-ROMのインストーラーなどを自動的に起動するための「オートラン」と呼ばれる機能がある。以前は、これがUSBメモリーなどでも機能したため、USBメモリーを介した感染が大きな問題になったが、ネット経由の感染には悪用できないし、現在はCDやDVDなどの光メディア以外では機能しないように無効化されている。
・「脆弱性を悪用した不正実行」を防ぐ
国内で大量の感染者を出しているのが、システムやアプリケーションの欠陥を悪用した不正な実行だ。これは、本来はできないはずの実行方法だが、システムやアプリケーションに欠陥があると、これを悪用することによって自動実行を実現できてしまうことがある。このようなセキュリティ上の問題を引き起こす欠陥のことを脆弱性といい、上記の「感染を防ぐ5つの方法」の(1)を徹底することによって、Webサイトを閲覧しただけで感染してしまうような事態を防ぐことができる。
・ウイルス対策ソフトとファイアウォール
(4)のウイルス対策ソフトは、ウイルスを実行してしまわないよう、事前に排除する機能を提供する。統合型のセキュリティソフトでは、危険なサイトやメール、リンクなども、事前に危険を知らせて排除してくれる。
(5)のファイアウォールは、不正な通信を防御する機能を提供するもので、統合型のセキュリティソフトには、たいていこの機能も備わっている。Windowsにも標準で備わっている。Windows XPでは、外部からのパソコンへの着信接続を制限する機能をサポートしており、ファイアウォールを有効にすると、事前に許可したプログラムへの接続以外は、すべてブロックするようになる。Windows Vista や Windows7では、パソコンからから外部への発信接続を制限することもできるが、標準設定ではXPと同様の無制限だ。こちらを有効にすると、事前に許可したプログラムしか外部に接続できなくなる。
同様の機能は、家庭内の複数のパソコンをインターネットにつなげるようにしてくれる「ルーター」も備えている。
正しく設定されたファイアウォールを利用すると、家庭内LANへの外部からの侵入や脆弱性攻撃による感染を防いだり、感染してゾンビ化してしまったパソコンが行う悪事を妨害したりすることもできる。だが、設定するためには相応のスキルが必要になる。一般ユーザーは、有効にしておけば救われることがあるかもしれない程度に考え、まずは(1)から(4)を徹底するところから始めよう。
--------------------------------------------------------------------------------
(執筆:現代フォーラム/鈴木)
(注1)McAfee脅威レポート:2012年第2四半期[PDF](マカフィー)
https://www.mcafee.com/japan/media/mcafeeb2b/international/japan/pdf/threatreport/threatreport12q2.pdf