P2Pネットワークを介して攻撃者の指令を伝えるボットが存在することを米SANS Instituteなどが伝えていたことに対して、JPCERTコーディネーションセンター(JPCERT/CC)が21日、「P2P通信を使用した指揮統制機能を実装したボットは存在しなかった」との見解を示した。
従来のボットネットでは、攻撃者が指揮統制を行なうサーバーとして、IRC(Internet Relay Chat)が利用されていた。最近ではTCP 80番ポートや443番ポートを使うIRCサーバーに接続するボットが急増している。こうした中、命令の受信にP2P型の通信を使用するボットの存在が一部で報じられていた。
これを受けてJPCERT/CCでは、命令の受信にP2P型の通信を使用するボットや、既存のP2Pファイル共有ネットワークと関連するボットやボットネットの実態について調査を実施。今回「P2P型ボット分析レポート」と題する資料を公表し、P2P型ボットに対する考察を示した。
|
|
IRC型のボットネット構成
|
想定していたP2P型のボットネット構成
|
● P2Pを自己更新に使用するボットは確認
|
ラック先端技術開発部の新井悠氏
|
調査方法については、ソースコードの中にP2Pメカニズムと思われるコードが確認されたトロイの木馬「Agobot」のソースコードを分析したほか、「P2Pボットである」と報じられた「W32.Nugache.A@mm」と「Trojan.Peacomm」に対してリバースコードエンジニアリングを行なった。
分析を行なったラック先端技術開発部の新井悠氏によれば、Agobotでは約40のノードに接続する機能は認められたが、「一般的なボットネットは3,000~4,000のボット感染PCで構成されていることを考えると、かなり小規模なボットネットしか作れない」と指摘。P2Pによる指揮統制メカニズムについても、「試作段階であるため動作しない」という。
また、W32.Nugache.A@mmとTrojan.Peacommでも、P2Pによる指揮統制機能は確認できなかったとしている。ただし、Trojan.Peacommについては、ファイル交換ソフト「eDonkey」のネットワーク上から追加モジュールをダウンロードする機能が認められた。これにより、「アンチウイルスベンダーのパターンファイルへの組み入れまでの時間が長くなる」という。
さらにTrojan.Peacommでは、Webを用いて自己更新する機能も確認された。HTTPをプロトコルとすることにより、ファイアウォールのアウトバウンド制御を回避できるため、感染をなるべく長引かせられるとしている。
● P2P型ボットはデメリットの方が大きい
これらの調査を踏まえて、「P2P型ボットの存在は確認できなかった」との結論を出した新井氏。では、なぜ「P2P型ボット」の存在が指摘されたのか。新井氏は、「ボットネットを制御する複数のC&C(Command & Control)に一斉に接続する動きがあり、分析の仕方によってこれがP2Pに見えたのではないか」と推測する。
P2P型ボットについて新井氏は、「P2Pファイル共有ネットワークを使用すれば、指揮統制がつぶされるリスクを分散できる一方で、ファイアウォールによるアウトバウンド制御を回避できないなど、攻撃者から見るとデメリットが大きい」とし、P2P型の通信を行なうボットの脅威が顕在していると断言する論拠は薄いと語る。
ただし、恒常的に発生しうるトラフィックであるHTTPやHTTPSに扮した通信、「Winny」など既存のP2Pファイル共有ネットワーク、「Skype」などのP2P型のVoIPネットワークなどを利用したマルウェアの拡散については、直近の脅威として懸念されると指摘している。
関連情報
■URL
P2P型ボット分析レポート(PDF)
http://www.jpcert.or.jp/research/2007/P2P_bot_analysis_report.pdf
SANSのアドバイザリー(英文)
http://isc.sans.org/diary.html?storyid=1300
関連記事:海の向こうの“セキュリティ” 第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
http://internet.watch.impress.co.jp/static/column/security/2007/05/08/
( 増田 覚 )
2007/06/21 19:08
- ページの先頭へ-
|