Internet Watch logo
記事検索
最新ニュース

ボットネットはより危険な方向に変化、キーロガーも増加〜警察庁調査


 警察庁は16日、2005年下半期(7月〜12月)におけるボットネットの観測結果を公表した。ボットに感染したと推定されるマシンは52,723台で、そのうち日本国内には5,178台が存在するという結果となった。

 警察庁のサイバーフォースセンターでは、ウイルスなどによって攻撃用のプログラムを送り込まれたPCから構成される「ボットネット」の現状を把握するため、2005年1月からボットネット観測システムを構築し、運用している。

 2005年上半期の調査では、ボットに感染したマシンは128万5,247台、国内では14万4,512台に上っており、今回の調査では台数が大幅に減少している。これについて警察庁では、ボットネットの規模が小さくなったことに加えて、ボットのプログラムが調査に対して結果を返さないように改造されてきたため、調査が困難になっているためとしている。IPアドレスから推定したボット感染マシンの国別の割合は、米国が12.7%、中国が10.4%、日本が9.8%、ドイツが6.9%、イタリアが3.9%など。

 ボットネットに指令を送る指令サーバーは904アドレス存在し、そのうち日本国内にあると思われるサーバーも48アドレスあった。これらのIPアドレスを逆引きすると、42アドレスは国内ISPの一般利用者に割り当てられる形式のホスト名であったことから、概ね個人ユーザーのPCが指令サーバーになっていると推測している。指令サーバーの国別の割合は、米国が42.7%、韓国が12.3%、中国が8.8%、日本が5.3%など。

 ボットネット指令サーバーが使用している接続ポートは、一般にIRCで使用されるTCP 6667番ポートが44.1%と圧倒的に多く、プロキシーサーバーで用いられるTCP 8080番ポートの7.7%などが続く。指令サーバーからの命令種別の分類は、チャットが55.6%、感染活動が5.1%、情報収集が4.8%、攻撃活動が2.9%など。

 ボットの感染を拡大しようとする感染活動の手法としては、TCP 135番ポートを対象とするDCOMの脆弱性を悪用するものが46.5%、TCP 139番ポートを対象とするNetBIOSを狙ったものが12.1%など。情報収集活動では、キーロガーに関する命令が1,000件以上となり、上半期に比べて急増している。

 警察庁では、ボットネットの活動の傾向はより危険な方向に変化を続けており、PCの利用者はボットに感染しないために、OSやアプリケーションの修正プログラムの適用や、ウイルス対策ソフトの導入とパターンファイルの更新といった、基本的なセキュリティ対策を常に心がけることが大切だと呼びかけている。


関連情報

URL
  平成17年度下半期(7〜12月)におけるbotnet観測システム観測結果(PDF)
  http://www.cyberpolice.go.jp/detect/pdf/20060316_botnet.pdf

関連記事
国内にも14万台以上のボット感染を確認〜警察庁調査(2005/10/25)


( 三柳英樹 )
2006/03/17 15:46

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.