Internet Watch logo
記事検索
最新ニュース

国内に18,000台規模の“ゾンビ”ネットワークを観測~警察庁が分析


 警察庁は27日、ボットネットワークに関する分析レポートを同庁のセキュリティ関連ポータルサイト「@police」で公表した。「Spybot」などのボット系ウイルスに感染した、いわゆる“ゾンビ”と呼ばれるPCが日本国内にも多数存在することが観測されたという。

 ボットネットワークを構成するゾンビは、遠隔の攻撃者からの指令を受けて一斉に機能を実行するようになっており、PCのユーザーの気付かないうちにDoS攻撃や迷惑メール送信、ウイルス感染などをの踏み台にされてしまう。警察庁のサイバーフォースセンターでは約20種類のボットネットワークを観測しており、今回、その観測結果の一部が報告された。

 報告によると、.netドメインの指令サーバーで束ねられたあるボットネットワークでは、これに接続しているゾンビのIPアドレスが2004年11月25日から12月5日までの間に約235,000件確認されたという。地域別の内訳は韓国が29.4%、中国が19.0%、日本が7.6%、カナダが6.0%、イタリアが5.4%、ドイツが5.3%、ブラジルが4.6%、オランダが2.6%などだった。国内に約18,000台規模のゾンビネットワークが存在したことになる。

 なお、このボットネットワークを構成するIPアドレスの件数は観測期間中も時間とともに変化しており、12月5日にはゼロになった。ただしこれは、ボットプログラムが更新指令を受けて自身を別のボットプログラムに置き換えたことで、一時的に他の指令サーバーに移行したためだという。

 警察庁ではボット対策として、OSやアプリケーションの修正プログラムの適用、ウイルス対策ソフトの導入、パーソナルファイアウォールの導入を挙げている。ただしボットは次々と新種が発生しており、ウイルス対策ソフトでも検出できないこともあるという。また、自身の実行プロセスを隠すよう巧妙に作成されており、Windowsの“netstat”コマンドや“attrib”コマンドでチェックしたとしても、ボットプログラムを発見できるとは限らないので注意が必要だとしている。


関連情報

URL
  分析レポート(PDF)
  http://www.cyberpolice.go.jp/detect/pdf/H170127_botnet.pdf

関連記事
急増する“ゾンビ”でフィッシングが加速する懸念~シマンテックが報告(2004/10/21)
警察庁伊貝氏「警察にも情報セキュリティに強い連中がいる」(2004/11/02)


( 永沢 茂 )
2005/01/28 17:34

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.