ボットに感染した国内ユーザーのパソコンが、フィッシングやウイルス配信などに悪用される例が、後を絶たない。当編集部はフィッシングサイトの調査を継続的に行っているが、とくにここ数週間、国内IPアドレスの悪用例が目立っているため、注意を喚起しておきたい。
ボットはロボットの略で、ユーザーのパソコンをロボット化して外部から意のままに繰ろうとして仕掛けられる悪質なプログラムだ。ボットに感染したパソコンは、ボットネットと呼ばれるネットワークに組み込まれてしまう。このため、起動するとユーザーが知らないうちに攻撃者の指示に従ってフィッシングやスパムメールの配信、特定サイトへの攻撃などの悪事を働く。
このボットネット(ZeuS/Zbot系が多い)とFast-Flux(ファストフラックス)と呼ばれるテクニックを使ったフィッシングが、ここ最近、とくに頻繁にみられるようになった。
Fast-Fluxは、URLなどに書かれているホスト名に対し複数のIPアドレスを登録し、実際に接続する接続先を次々に切り替えていく手法だ。攻撃者は、ボットネット配下の感染パソコンに偽サイトを設置させ、この手法を用いて感染パソコンがホスティングしている偽サイトへと誘導する。編集部の観測では、15台くらいを1セットにしてホスティングさせているうち、5台が国内ユーザーのパソコンというケースもあった。
偽サイトのホスティングに悪用されていた国内の感染パソコンのユニークIPをみると、ぷらら、UCOM、CTC(中部テレコミュニケーション)、eonet(ケイ・オプティコム)、so-net、JCN熊本、ソフトバンクBB、J:COM、朝日ネット、SANNET(NTTデータ三洋システム)など。
Windows7が発売されたこともあり、パソコンを買い替えたり新たに購入した人も少なくないだろう。パソコンへのウイルス侵入を監視するウイルス対策ソフトの導入や日常的な予防策がは必須だ。そうした対策を怠っていると、知らない間にボットにも感染し、こっそり悪用されることになりかねない。この機会にボットに感染してWebサーバになっていないかどうか、パソコンをチェックしてみてはいかがだろうか。もし感染していたら駆除するのは当然だが、感染していない場合も予防策の実施を日常的に徹底することをお奨めする。
■ ボット感染の簡易版チェックと駆除
自分のパソコンがボットに感染し、Webサーバーにされていないかどうかを確認するには、ブラウザのURL入力欄にhttp://127.0.0.1/と入力してアクセスみることだ。「このページは表示できません」「正常に接続できませんでした」などとブラウザに表示されたら、Webサーバーとして使われていない。もしアクセスできたり、「403」など他のエラー表示が出る場合は、すみやかにウイルスを駆除しよう。サイバークリーンセンターでは無料の検出・駆除ソフト「CCCクリーナー」をダウンロードできる。So-netでも無料のウイルス診断「マカフィー・フリースキャン」を提供している。
■ボットを防ぐ日常的かつ基本的な方法
ボットはウイルスの一種であり、通常のウイルス対策と同じ防御策が有効だ。感染防止のためには、次の5つの対策をとっておこう。
1) OSや使用しているソフトを常に最新の状態にし、脆弱性攻撃を受けないようにする。
2) 信頼できるサイトやメール、ファイルしか開かないようにし、リンクも決してクリックしない。
3) ウイルス対策ソフトを導入し、常に最新の定義ファイルを適用する。
4)「Windowsファイアウォール」などの不正な通信を防御する機能を有効にする。
5) インターネットとパソコンの間にルーターを設置し、外部からの直接攻撃を遮断する。
(2009/12/15 ネットセキュリティニュース)
■サイバークリーンセンター
https://www.ccc.go.jp/
■マカフィー・フリースキャン
http://www.so-net.ne.jp/option/security/freescan-jp/mfs/FreeScan_EULA_Page.htm
■So-netのボット(BOT)ウイルス対策
http://www.so-net.ne.jp/security/taisaku/bot.html