わが国は、スパムの送信やウイルスの配布などに悪用されるサイトが非常に少なく、セキュリティベンダー各社が行っている調査でも、世界で有数の危険の少ない国にあげられている。各種攻撃での国内サイトの悪用率は、1%に満たないのが常だ。そんな中、昨年末から行われているウイルス感染活動のひとつに、国内のゾンビパソコン(ゾンビPC)が大量に使用されていることが、編集部の調査で分かった。
ゾンビPCというのは、ユーザーの知らない間に乗っ取られ、外部から遠隔操作されているパソコンのこと。攻撃者の制御下に置かれた多数のゾンビPCは、ボットネットと呼ばれるネットワークを構成し、攻撃者の指示に従ってスパムの送信やウイルスの配布、Webサイトへの攻撃、フィッシングサイトの開設といった、さまざまなサイバー犯罪に悪用される。
今回、国内のゾンビPCが大量に検出されたのは、メールなどのリンクをクリックして来たユーザーのパソコンを、ウイルスに感染させるために別の場所にある攻撃サイトへと誘導する「リダイレクタ」として悪用されているもの。このリダイレクタには、毎日数百台のゾンビPCが使われているのだが、その数パーセントから十数パーセントを、国内のゾンビPCが占めている。
このリダイレクタに悪用されたゾンビPCは、昨年末から昨日までの検出可能だった22日間で、125か国、1万3385台。うち、5.7%にあたる757台が日本国内のもので、ロシア(13.8%)、インド(11.3%)、メキシコ(8.2%)、カザフスタン(6.7%)に次ぐ高い出現率となっている。ちなみに国内のゾンビPCには、一部に企業や大学のIPアドレスも含まれるが、ほとんどがプロバイダ経由でアクセスしているユーザーのもので、関連するプロバイダは60社を超える。
ゾンビ化を目的に仕掛けるウイルスを、ユーザーのパソコンをロボットのように遠隔操作することから「ボット」と呼んでいる。ボットは、感染パソコンをユーザーに気付かれないように悪用しようとするため、感染しても目立った症状が現れないことが多いが、パソコンの動作が遅くなる、CPUの利用率(タスクマネージャーで確認可)が常に高い値を示す、セキュリティソフトが無効になる、セキュリティベンダーやWindows Updateにアクセスできない、などの以上が現れたら注意していただきたい。
今回編集部が観測したものに関しては、悪用されているパソコンがWebサーバーになっているので、ブラウザで自身にアクセスできるかどうかをチェックすることでも確かめられる。自身にアクセスするためには、ローカルループバックアドレスという特別なIPアドレスを使用する。ブラウザのアドレスバーに「http://127.0.0.1/」(「 」は不要)と入力し、「このページは表示できません」「正常に接続できませんでした」といったエラーで接続できなければ、あなたのパソコンはWebサーバーとして使われていない。
ちなみに、今回のゾンビPCたちは「502 Unknown Host」と書かれたページを表示するようだが、このようにアクセスできてしまうような場合には、パソコンがWebサーバーとして稼働しており、感染している可能性がある。
(2012/01/23 ネットセキュリティニュース)
【関連URL】
・ボット対策のしおり[PDF](IPA)
http://www.ipa.go.jp/security/antivirus/documents/3_bot_v8.pdf