■韓国でもボット対策サービス、感染の有無を調べて治療も
|
ボット対策サービスを提供しているサイト「ボホナラ(保護の国)」
|
日本ではボット対策として、総務省と経済産業省の連携プロジェクトである「サイバークリーンセンター(CCC)」がボットの駆除ツールを無償で公開していますが、韓国でも似たようなサービスが始まりました。
韓国情報保護振興院(KISA)は11月4日、一般ユーザーのパソコンがボットに感染しているか否かをチェックできるサービスを開始したと発表しました。KISAでは以前からボット対策として「DNSシンクホール」というサービスを提供しており、そのシステムを活用したのが今回発表した新サービスです。
「DNSシンクホール」は、ボットが感染後にボットネットを管理するサーバーと通信する性質を利用し、ボットが本来のボットネット管理サーバーではなく、KISAのサーバーにアクセスするように通信を捻じ曲げることで、ボットとして機能しないようにするというシステムです。
今回、KISAはこのシステムを改良することで、ユーザーのパソコンがボットに感染しているかどうかをチェックするとともに、感染している場合は治療まで行えるようにしたのだそうです。
このサービスは「ボホナラ(保護の国)」と名付けられたWebサイトで提供されています。また、このサイトではボットのプログラムそのものの検体提供も受け付けており、提供されたプログラムをもとにウイルス対策ベンダーと連携してワクチンの開発も行なうとしています。
セキュリティ関連では「イケイケどんどん」のイメージの強い韓国にしては、ボット感染の有無をチェックするサービスの提供開始が遅かったような印象を受けます。その一方で、今回のサービス以前に既に行っていたという通信を捻じ曲げる「DNSシンクホール」は、確かに効果はあるのでしょうが、ユーザーの立場として見ると、若干「気持ち悪い」印象があります。通信を捻じ曲げることに伴う弊害もあると思うのですが、その点については明らかにされていません。
■URL
ETNEWS(2008年11月4日付記事)
KISA、悪性ボット(Bot)感染確認サービス提供
http://www.etnews.co.kr/news/detail.html?&mc=m_014_00001&id=200811040040
ボホナラ
http://www.boho.or.kr/
サイバークリーンセンター
https://www.ccc.go.jp/
■米大統領候補に標的型攻撃?
米国大統領選はオバマ氏の圧勝で決着しましたが、選挙戦真っ只中の今年の夏、オバマ/マケイン両陣営のパソコンに、外国機関の何者かが侵入する事件が発生していたとの報道がありました。
報道によると、侵入によってパソコン内に保存されていた両候補の政策にかかわる資料などが大量に盗み出されたようです。また、対立陣営による攻撃の可能性はほとんどないらしく、最初に侵入に気付いたオバマ陣営の担当者は、侵入はロシアか中国から行われたと推測しているそうです。
FBIとシークレットサービスなどが捜査に当たっており、今のところ「犯人」は特定されていませんが、犯行の目的は、どちらが大統領になっても外交上の交渉を有利に運べるように両候補の政策などを詳細に把握・分析することにあったのではないかとされています。
技術的な詳細が明らかにされておらず、単に「a sophisticated cyber attack」と表現されているだけなので、現時点では何とも判断ができないのですが、もし報道の通りの目的で侵入行為が行われたのであれば、単なるウイルスではなく、何らかの公知になっていない手法を用いた「標的型攻撃」である可能性は極めて高いと言えます。
この件はこのままうやむやになってしまう可能性もありますが、同じような攻撃を防ぐためにも、できればどのような手法で攻撃が行われたのか、詳細を明らかにしてもらいたいものです。
■URL
Yahoo! Tech(2008年11月6日付記事)
Obama, McCain campaign computers hacked: Newsweek(AFP)
http://tech.yahoo.com/news/afp/20081106/tc_afp/usvotecrimeinternet
CNN.com(2008年11月20日付記事)
Obama's cell phone records breached
http://www.cnn.com/2008/POLITICS/11/20/obama.cell.breach/index.html
■一ホスティング事業者の遮断でスパム半減?
世界中のスパムメールの50%から75%もの配信にかかわっていたとされる「悪徳」ホスティング事業者のネットワーク接続が遮断されたことで、スパムメールが激減したとの報道がありました。
このホスティング事業者は、世界最大規模のボットネットとされる「Rustock」や「Srizbi」にネットワーク接続サービスを提供していたことで悪名が高かった、サンノゼにあるMcColo社で、現地時間11月11日の午後(グリニッジ標準時11月11日21時30分ごろ)、同社の上位プロバイダー複数社がネットワーク接続を遮断しました。
McColo社のネットワークを遮断したことによって減少したスパム配信の割合については、観測によりまちまちですが、4割減から半減、中には3分の1に減ったとの報道もありました(減少の度合いを示すグラフは下記の参考文献で紹介されています)。
しかし、この「スパム激減」を手放しで喜ぶべきではありません。これが一時的なものに過ぎないことは誰の目にも明らかです。事実、11月15日にはMcColo社が別のプロバイダーを使うなどして一時的にインターネットに接続し、その間に「Rustock」の管理者がボットネットの設定を変更して再びスパムメールの送信を行うようにしたとの報道がありました。その結果、11月24日には(以前ほどの量には至らないものの)スパムの量が急増したことが観測されています。恐らく以前の量に戻るのは時間の問題でしょう。
残念ですが同じような「もぐらたたき」を繰り返さざるを得ないようです。
さて、今回のMcColo社の遮断そのものに対して異議を唱える人はほとんどいませんでしたが、今回の件に警察や裁判所など司法機関が全く関与していなかったことに対し、このようなプロバイダーらの「自警主義(vigilantism)」に警鐘を鳴らす意見も出ています。簡単に言ってしまえば、法的な面も含め、何らかの「裏付け」のないままに遮断という強硬手段に出ることに「行き過ぎ」の危険性があるのではないかということです。
確かにMcColo社の顧客にはスパム配信とは無関係の「普通のユーザー」もいたはず。それらの「無辜のユーザー」のネットワーク接続をも遮断してしまったことに「問題が全くなかった」とは言えないのではないでしょうか。
McColo社はスパム配信以外にも多くのサイバー犯罪関係のサイトをホスティングしていたと見られていることから、実際には今回の遮断による「問題」はないのかもしれません。しかし、同じような遮断を今後も別の事業者に対して「同じように問題なく」行えるかどうかは甚だ疑問です。
■URL
washingtonpost.com(2008年11月12日付記事)
Host of Internet Spam Groups Is Cut Off
http://www.washingtonpost.com/wp-dyn/content/article/2008/11/12/AR2008111200658.html
Sophos Blog(2008年11月12日付記事)
Alleged Silicon Valley spam source taken down; global spam volume drops 75%
http://www.sophos.com/security/blog/2008/11/1970.html
Symantec Security Response Blogs(2008年11月13日付記事)
Hosting Company Shutdown Causes Spam Volumes to Fall - For Now!
https://forums.symantec.com/syment/blog/article?blog.id=spam&thread.id=123
F-Secure Weblog(2008年11月13日付記事)
McColo Mole Wacked
http://www.f-secure.com/weblog/archives/00001539.html
McAfee Avert Labs Blog(2008年11月13日付記事)
Where did all the spam go?
http://www.avertlabs.com/research/blog/index.php/2008/11/13/where-did-all-the-spam-go/
Computerworld(2008年11月17日付記事)
McColo takedown: Internet vigilantism or online Neighborhood Watch?
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9120542
Sophos Blog(2008年11月26日付記事)
Spam is up by 200%. Rustock botnet revival to blame.
http://www.sophos.com/security/blog/2008/11/2028.html
■ロンドンの病院が「ウイルス」感染
病院がコンピュータウイルスに感染したという、ジョークのような事件がロンドンで発生しました。
英国の病院トラスト(企業合同)である「Barts and The London NHS Trust」のコンピュータシステムにウイルスが感染したために、その傘下にあるロンドンの3つの病院(St. Bartholomew's、the Royal London Hospital、TheLondon Chest Hospital)のネットワークを遮断する事態が発生しました。
感染したのは、2005年の春に流行した「Mytob」と呼ばれるウイルスと見られ、患者の個人情報が漏えいする危険性もあることから、感染発覚後、すぐにネットワークを遮断したようです。
トラスト側の発表や英国での報道によれば、同トラストでは普段からこのような緊急事態に備えた訓練をしており、ネットワークを停止したことによって業務上の支障は多少発生したものの、病院業務自体はほぼ通常通りに行えたようです。また、調査の結果、ウイルスによって患者の個人情報が漏えいした事実はなかったとの発表もされています。
さすがに命を預かる病院だけあって緊急時の対応はスムーズであり、今回の事件によって重篤化した患者がいたといった深刻な事態は発生しなかったようです。この「事後対応」の円滑さについては、一般の企業でも見習うべき点は多々あると思います。
しかしその一方で、3年以上も前に流行したウイルスになぜ感染してしまったのかという点が気になります。本原稿執筆時点では、原因はまだ調査中とされていますが、同トラストの発表では少なくとも標的型攻撃の対象とされた証拠はないとしています。
単にウイルス対策ソフトがインストールされていない、または更新されていないパソコンがあったのではないかとの見方もありますが、真相が気になるところです。
■URL
Barts and The London NHS Trust
Press release(2008年11月18日付記事)
Computer virus at the Trust Tuesday 1500hrs
http://www.bartsandthelondon.org.uk/formedia/press/release.asp?id=2054
Press release(2008年11月21日付記事)
Computer virus at The Trust
http://www.bartsandthelondon.org.uk/formedia/press/release.asp?id=2077
BBC NEWS(2008年11月18日付記事)
Computer virus affects hospitals
http://news.bbc.co.uk/1/hi/england/london/7735502.stm
(2008/12/02)
|
|
山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。
|
- ページの先頭へ-
|
|
|
Copyright (c)2008 Impress Watch Corporation, an Impress Group company. All rights reserved. |
|