Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金〜韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング〜検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念〜米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか

「ハイブリッドP2P型」ボットネットの脅威

 4月10日にケンブリッジで行なわれたUSENIXによるボットに関するワークショップ「HotBots '07」において、新型ボットネットの可能性を提起した論文が発表されました。

 この論文で紹介されている新型のボットネットは、従来の「C&C(command-and-control)型」のボットネットと「P2P型」のボットネットのそれぞれの長所を組み合わせた形態を持ち、「ハイブリッドP2P型」と名付けられています。

 まず、新型ボットネットを紹介する前に既存のボットネットについて簡単に復習しておきます。従来の典型的なボットネットは、C&Cサーバーを中心に個々のボットがぶら下がるというネットワーク形態を持ち(図1)、ボットとC&Cサーバーの通信にはIRC(Internet Relay Chat)が使われていました。

■図1 C&C型ボットネットのcommand-and-controlアーキテクチャ
 http://www.usenix.org/events/hotbots07/tech/full_papers/wang/wang_html/figure1.png

 しかしこのようなC&C型のボットネットには、ボットネットを使って攻撃する側にとって以下のような「弱点」がありました。

1)C&Cサーバーの数が限られているため、C&Cサーバーが停止させられるとボットネットを制御できなくなってしまう。
2)ボットからの大量のトラフィックを観測したり、ボットを捕捉することで、C&CサーバーのIPアドレスを容易に特定できてしまう。
3)C&Cサーバーが乗っ取られたり、捕捉されてしまうと、それだけでボットネット全体がわかってしまう可能性がある。

 つまり、ボットを制御するC&Cサーバーの存在自体が、この形態のボットネットの最大の弱点となっているわけです。そこでこの弱点を克服する目的で考えられたボットネットの形態が、C&Cサーバーのような中心となるサーバーを置かずにすべてのボットが同じレベルで通信し合うP2P型です。

 ただし、P2P型のボットネットにも次のような弱点がありました。

1)接続性が弱く、他のボットを探索する通信が検知されやすい。
2)無駄な通信が多く、ボットネットが大きくなればなるほど効率が悪くなる。
3)各ボットが全ボットの一覧を持っているため、1つでもボットが捕捉されるとボットネット全体がわかってしまう。

 そこで論文では、上記2つのタイプのボットネットのそれぞれの長所を組み合わせた新しいタイプのボットネットの可能性を提起し、その安定性などをシミュレーションの結果をもとに示しています。

 この新たにハイブリッドP2P型という名で提起されたボットネットは、Servent(SERVEr+cliENTの造語、Servantにかけている)とClientの2種類のボットで構成されています(図2)。

■図2 ハイブリッドP2P型ボットネットのcommand-and-controlアーキテクチャ
 http://www.usenix.org/events/hotbots07/tech/full_papers/wang/wang_html/figure2.png

 Clientボットは限られた数のServentボットとのみ通信をし、また、Serventボットも限られた数のServentボットとのみ通信をします。つまり、C&C型ボットネットにおいてC&Cサーバーを多数に増やし、そのC&Cサーバー間を「P2P的」に通信しあう構成とも言えます。

 このボットネットの特徴として、各ボット(Servent、Clientともに)は通信する相手を限定しており、また、ボットネットを制御する側の命令に従って通信相手をランダムに変更するため、ボットが1つ捕捉されてもボットネット全体が検出されることはありません。さらに従来のP2P型に比べて接続性を安定化し、無駄な通信を抑えることでボットネットが大きくなっても効率の良い通信および制御が可能になっています。

 ところでこの論文は、このような今後生まれるかもしれない新しいタイプのボットネットを提起していますが、攻撃側に有利な情報を提案しているわけではありません。当然のことながら、この新しいタイプのボットネットから防御する方法についても示しています。

 論文の著者は、防御の「キモ」はハニーポットであるとしています。もちろん従来のボットネットに対する防御方法としても、ハニーポットを使ってボットを捕捉し、ボットネット全体を把握することで攻撃から守る、またはボットネットを停止させるという方法は取られていました。しかし今回提起された新しいボットネットの場合は、これまで以上にハニーポットの手法が重要なのです。

 その理由はServentボットの存在です。この新しいボットネットも、ボットが拡散を始める初期段階ではServentボットの数が限られており、従来のC&C型のボットネットに近い状態にあります。つまり、その時点でボット、それもServentボットを捕捉すればボットネット全体を把握することが容易になるわけです。そこでハニーポットがServentボットに感染しやすいように構築することが重要となります。この論文では、Serventボットの仕組みから、どのようにハニーポットやそのネットワークを構築すべきかについて詳細に説明されています。

 その一方で著者は、感染したホストがハニーポットであるか否かを調べ、ハニーポットである場合にはボットとして機能しないようにプログラムされたボットも出てきており、今後はハニーポットとボットとの攻防が激しくなるだろうと指摘しています。

URL
 An Advanced Hybrid Peer-to-Peer Botnet
 http://www.usenix.org/events/hotbots07/tech/full_papers/wang/wang_html/
 HotBots '07
 http://www.usenix.org/events/hotbots07/


韓国情報保護振興院、悪性コード隠匿サイトの探索でGoogleと提携

 韓国情報保護振興院(KISA)は、Googleと提携し、世界中のWebサイトを対象として「悪性コード(マルウェア、ボットなど)」が仕込まれたサイトを探し出すことになったと発表しました。

 KISAは自ら開発した「悪性コード隠匿サイト自動検知システム」を 2005年末から運用し、韓国国内の主要サイト約7万7,000余りに対して自動点検サービスを提供してきました。今回の提携により、KISAはこれまでの活動の中で得てきた探知パターンをGoogleに提供し、一方、Googleはそのパターンを使って悪性コードが仕込まれたWebサイトを検索して発見した結果をKISAに報告することになります。これにより、検索結果に「悪性コード隠匿サイト」が現われても、利用者がアクセスしないようにすることができるのです。

 KISAにとって、探索の対象をこれまで韓国国内のサイトに限っていたものを一気に世界中のサイトに拡大することができ、一方Googleにとっては利用者の安全を図ることができるという点で、この提携は両者にとって大きなメリットがあります。そしてそれ以上に利用者にとってもこの提携は大きなメリットがあります。

 セキュリティベンダーだけでなく、世界中のさまざまな公的機関で、マルウェアの解析やその検知は活発に行なわれています。しかしその成果は主に「ウイルス検知ソフト」や「ワクチンソフト」「駆除ツール」に使われることがほとんどです。つまり何らかのソフトウェアを利用者のパソコンにインストールしない限り、その成果を利用することはできないわけです。

 一方、マルウェアの感染を防ぐ方法として「不審なサイトにはアクセスしない」ということが「常識」とされていますが、実際には多くのユーザーにとって「不審なサイト」にアクセスする危険性が高いのはGoogleをはじめとする検索サービスによる検索結果に現われたサイトにアクセスする時です。しかし、検索結果に現われたサイトが不審か否かの判断は、そのような判断をするためのソフト(やブラウザのアドオン)を使わざるを得ません。そのような中で検索サービスを提供する側で「(マルウェアが仕込まれている)不審なサイト」へのアクセスを防いでくれるというのは、ごく普通の一般ユーザーにとって、とても心強いものであることは疑う余地がありません。

 もちろんこのような「遮断」は慎重に運用しなければ、一種の「検閲」にもなりかねません。しかしそのような問題も、どのような基準で「遮断」するのかのルールを明確にし、利用者に明示する、また検索結果に「危険なサイト」が現われてもリンクはせずにURLのみ掲載し、その脇に「このサイトにアクセスするとマルウェアに感染する可能性があります」といった注意書きを添えるなどすることで、解決(もしくは緩和)するのではないかと考えられます。

 「1インターネットユーザー」として、このような活動がより積極的に行なわれ、成果を挙げることに、大いに期待しています。

 一方、日本でも総務省と経済産業省による連携プロジェクト「サイバークリーンセンター」においてボットの解析が行なわれていますが、税金を使って運用されているこの活動の成果を、「駆除ツール」だけでなく、日本国民(=利用者)が「危険なサイト」に不用意にアクセスしないような仕組みの構築にも積極的に利用してもらいたいものです。

URL
 「MONEY TODAY」2007年4月24日付記事(韓国語)
 「KISA-Google、悪性コード隠されたサイトを探す」
 http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2007042414245263660
 総務省・経済産業省 連携プロジェクト Cyber Clean Center サイバークリーンセンター
 https://www.ccc.go.jp/


「暴露機能」標準搭載のファイル交換ソフト、台湾で情報漏洩事件に

 日本では、「Winny」を使ってパソコン上のファイルをネットワークに垂れ流してしまう「暴露ウイルス」による情報漏洩事件が多発していますが、同様の事件が台湾で発生し、大きな問題になっています。

 現地の報道によると、台湾では4月に「Foxy」という名のP2Pファイル交換ソフトによって警察や軍の情報などが漏洩する事件が発生しました。

 Foxy は「簡単操作」「便利」「超高速ダウンロード」「絶対安全」を標榜し、事実その使いやすさからユーザーの多いP2Pファイル交換ソフトです。ところがこのFoxyにはそもそも「暴露機能」があり、「共有フォルダ」を指定しても、それを無視してすべてのファイルを「共有」してしまうのです。つまり、標準で「暴露機能」を有している点がWinnyとは異なります。

 また、さらに悪質なことに、ファイル検索のために極めて大量のリクエストを送信するため、ルータなどのネットワーク機器に多大な負荷をかけてしまうこともあるそうです。

 ほかにも、スタートアップで起動してタスクトレイに最小化されるためユーザーに稼動していることを気付かれにくい、コネクションポートを不定期に自動変更するなど検出されにくくする工夫が施されています。

 台湾当局では、2006年11月にP2Pファイル交換ソフトによる情報漏洩の危険性について注意を喚起したばかりだったこともあり、ショックは大きいようです。

URL
 「台湾CNET」2007年4月13日付記事(中国語)
 http://taiwan.cnet.com/news/software/0,2000064574,20116793,00.htm
 Wikipediaの「Foxy」項目(中国語)
 http://zh.wikipedia.org/wiki/Foxy

(2007/05/08)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2007 Impress Watch Corporation, an Impress Group company. All rights reserved.