警察庁は22日、3月に韓国で起きた大規模なサイバー攻撃で、国内のコンピューター3台が関与していたと発表した。
この攻撃は、今年3月3日から5日かけて、韓国の政府機関や金融機関、ポータルサイトなど40のWebサイトに対して分散型サービス拒否攻撃(DDoS:Distributed Denial of Service)が行われたもので、攻撃を受けたサイトで閲覧に支障が生じた。
DDoSは、標的となったWebサーバーに対し、複数のパソコンから一斉に大量のアクセスを発生させ、機能停止に追い込む攻撃のことをいう。3月の攻撃で直接標的を攻撃していたのは、ボットと呼ばれるウイルスの一種に感染し乗っ取られてしまった、一般ユーザーのパソコン(ゾンビPC)だ。韓国当局の発表によると、その数は11万6299台にのぼるという。
■知らない間に悪用されていた国内のパソコン
今回、関与が判明した国内の3台は、これら攻撃用のゾンビPCに攻撃指令を出していた、C&C(Command and Control)サーバーと呼ばれるもの。3月の攻撃では、世界70か国746台のC&Cサーバーが配下のゾンビPCを制御しており、うち日本国内に所在のある4つのIPアドレスについて、韓国当局から国際刑事警察機構(ICPO:International Criminal Police Organization/インターポール)を通じ捜査協力要請があった。
警察が捜査した結果、国内の企業のサーバー2台と個人のパソコン1台の計3台が、悪用されていた可能性が高いことが判明した。うち2台からは、外部と通信を行う不正なプログラムも検出されたという。末端のゾンビPCと同様、これらも所有者が意図的に関与したものではなく、知らない間にC&Cサーバーに仕立てられ、悪用されていたのだ。
3台の直接の感染源は分かっていないが、韓国のファイル共有サイトを通じて、ボットを仕込んだファイルが配布されており、攻撃に加担していた10万台余りのゾンビPCの中には、ほかにも国内のものが多数含まれていたのかもしれない。
■被害者にも加害者にもならないために
今回のボットは、DDoS攻撃と、ディスク内のファイルやシステムの起動情報が格納されたMBR(Master Boot Record)を破壊する自動消滅機能備えていたが、このほかにも、迷惑メールの配信やウイルスの配布、フィッシングなど、さまざまな悪事にボットが用いられている。先月から続いているZIPファイルを添付したウイルスメールや、Facebookの「友達リクエスト」を装うウイルスメールなども、ボットが深く関与しており、偽セキュリティソフトの押売りと感染パソコンのゾンビ化を兼ねたキャンペーンを展開中だ。
このようなキャンペーンの被害者や悪事に加担する加害者にならないよう、次のような対策を行っていただきたい。
・セキュリティアップデートを実行し、システムなどを常に最新の状態にしておく
・信頼できるファイル以外は開かない
・ウイルス対策ソフトを導入し、定義ファイルを常に最新の状態に保つ
・OSのファイアウォール機能を有効にする
・ルーター経由でインターネットに接続する
(2011/09/26 ネットセキュリティニュース)
【関連URL】
・3月の韓国政府機関等に対するサイバー攻撃への対応について[PDF](警察庁)
http://www.npa.go.jp/keibi/biki3/230922kouhou.pdf
【関連記事:ネットセキュリティニュース】
・ウイルスメールにご用心~ZIP添付が急増(2011/08/22)
・Facebookの「友達リクエスト」装うウイルスメールにご用心(2011/08/24)