ボットは一点突破の“スピア型ウイルス”、ISPも対応に苦慮

記事検索

イベントレポート

【 2009/06/12 】

■	ひろゆき氏＆夏野氏が講演「日本のネットは決してダメじゃない」［18:57］

■	携帯ゲーム機のような見た目のNGN対応回線品質測定器［14:28］

■	ISAO、IPデータキャストを利用したサービスイメージを展示［11:33］

【 2009/06/11 】

■	アナログ停波後の周波数帯域を利用したマルチメディアサービス［18:50］

■	日テレが「ニュース検索API」などを紹介、国内の地上波放送局初［18:36］

■	UQ Com田中社長、高速＆オープン志向「UQ WiMAX」のメリット語る［17:45］

■	主催者企画コーナーでは「ServersMan@iPhone」のデモも［11:13］

■	国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など［11:12］

【 2009/06/10 】

■	CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト［20:01］

■	IPv4アドレス枯渇で「Google マップ」が“虫食い”に!? ［19:29］

■	UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール［19:20］

■	「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も［14:53］

ボットは一点突破の“スピア型ウイルス”、ISPも対応に苦慮

　「Internet Week 2005」で8日、カンファレンス「Security Day ここだけの話～あなたはどう考えますか？～」が開催された。ボットネット対策についての徹底討論が行なわれた。

　出席者はNTTコミュニケーションズ（NTT Com）の小山覚氏、トレンドマイクロの小屋晋吾氏、インターネットセキュリティシステムズ（ISS）の高橋正和氏、JPCERTコーディネーションセンター（JPCERT/CC）の伊藤友里恵氏。それぞれ、ISP、セキュリティベンダー、調整機関の代表として意見を交わした。モデレータはJPCERT/CC代表理事の歌代和正氏が務めた。

● そもそもボットネットって何？

ボットの語源となったロボットというと「ドラえもんや鉄人28号、鉄腕アトムなどが浮かぶ」という歌代氏

　歌代氏は、ボットの語源となったロボットというと「ドラえもんや鉄人28号、鉄腕アトム、ロボット刑事などが浮かぶ」という。「金物としてのハードウェアがロボット。ソフトウェアで仮想的にプログラムとして実装したのがボットだ」と切り出す。例えば、Googleの検索ロボットにしても、クローリングの機能をボットプログラムとして仮想的に実装したものに過ぎない。「ボットネットもそうしたロボットのネットワークだとしたら悪いものではない。むしろ最強ではないか」。

　では、なぜボットネットが問題になっているのだろうか。JPCERT/CCによれば、国内ISP利用者の2～2.5％がボットに感染しているという。ブロードバンド利用者を約2,000万と見積もると40～50万台のPCが感染している計算だ。これらのボットに感染したPC（ゾンビPC）がボットネットを構成し、指令者である「ハーダー」からの指令を中継用サーバー通じて受け取る。指令を受信したゾンビPCは、スパムメールの不正中継をはじめ、メールアドレスやユーザーID、パスワードといった情報の流出などのウイルス活動を始めるわけだ。

● ボットの感染は一般ユーザーだけじゃない

トレンドマイクロの小屋氏は、企業ユーザーのウイルス感染のうち、ほぼ1割がボットであるという

　JPCERT/CCでは、ボットの亜種は1日に80種類以上発生していると見ている。ファイアウォールを導入しておらず、セキュリティ修正プログラムを適用していないPCであれば、インターネットに接続してから平均4分でボットに感染してしまう状況だという。

　一方、トレンドマイクロによるとウイルスの感染報告数は2004年6月の月間約9,000件をピークに減少に転じている。ただし、ウイルスの亜種は増加傾向にあり、2005年5月以降は月間100,000件を超過。その中でもボットの亜種は2005年5月以降月間9,000件を超える水準で推移している。実際に2005年1月～9月末のウイルス感染被害の集計では、RBOTが首位、SDBOTが3位、AGOBOTが7位と3種類のボット（亜種を含む）がランキングに入った。

　トレンドマイクロの小屋氏によると「ボットの感染は一般ユーザーに多いと思われているが、エンタープライズの調査でも2004年から感染報告が増えつつある。2004年下半期（7月～12月）、2005年上半期（1月～6月）ともに9％程度の感染報告を受けた」とコメント。企業ユーザーのウイルス感染のうち、ほぼ1割がボットであることを明らかにした。

● アプリケーションの脆弱性も攻撃

「ボットはアプリケーションの脆弱性も攻撃する」とISSの高橋氏

　「ボットはアプリケーションの脆弱性も攻撃する」と指摘するのはISSの高橋氏。4月に発生したアクセスログ解析ソフト「AWStats」の脆弱性を狙った攻撃と、10月に発生したPHPのXML-RPCの脆弱性を狙った攻撃を紹介した。

　いずれも外部から任意のコマンドが実行可能となる脆弱性が存在しており、これを悪用することでサーバー上で動作するボット用のプログラムをダウンロードさせ、サーバーマシンを乗っ取るというもの。ISSの調査では全世界の感染数のうち、AWStatsを狙ったボットでは10％、XML-RPCを狙ったボットでは13％を日本が占めていたという。

　また、特定の国を対象とした攻撃として、韓国製の掲示板ソフト「ZeroBoard」の脆弱性を狙ったボットを紹介。手口は上記2件と同様で、脆弱性を利用してボット用のプログラムをダウンロードさせるもので、9月8日・9日の2日間しか攻撃が検知されなかったことが特徴で、短期的に特定の対象を狙った攻撃だと分析した。

● ISPがボットの問題を認識したのは2004年春

小山氏は「Antinnyは愉快犯」だという

　ISPでボットの問題を認識したのは2004年春だ。「大量のスパムメールが送信され、それに伴い大量のエラーメールが発生した。OCNなどISPのメールサーバーにも大きな負荷になった」とNTT Comの小山氏は言う。

　この時に海外から大量に送られてきたスパムメールは「日本語」で「送信元のソースIP数が数百から数千」だったことから、「従来のスパムメールとは異なる」と判断。Telecom-ISAC JAPANでも調査を開始し、ボットネットによるものである可能性が高いことがわかった。

　実はTelecom-ISAC JAPANでは、同じ時期にAntinnyウイルスの対応に追われていた。このAntinnyはP2Pソフト「Winny」を介して感染するウイルスで、コンピュータソフトウェア著作権協会（ACCS）のWebサイトに対してDDoS攻撃を行なう。ACCSでは当初、ACCS側のDNSからAレコードを削除する対策を取ったため、ISP側のDNSへのリクエストが殺到。今度はISPのDNSに負荷がかかる結果になってしまった。なお、この問題は、10月にマイクロソフトの「悪意のあるソフトウェアの削除ツール」がAntinnyに対応して以来、Antinnyの攻撃のうち4割近くが減少している。

　とはいえ、このAntinnyですらインターネットというインフラを壊そうとしているわけではないという。「Antinnyは愉快犯。インターネット上が活動する場だからだ」というのが小山氏の見解だ。

● 伝家の宝刀「ポートブロック」もボットには役に立たない

　一方、ボットは金銭目的の組織的な犯罪に利用されており、被害が拡大すれば生活インフラとしてのインターネットの存亡に関わる。また、亜種が頻出するため、ウイルス定義ファイルベースで検知するウイルス対策ソフトでは新しい亜種に対応することが難しい。検知できない以上、被害を受けているかどうか判断できないことも問題だ。さらに、従来一般的だった不特定多数へのメールにウイルスファイルを添付する「マスメール型」から、特定の対象を一点突破する「スピア型」へとシフトしているという。

　こうしたボットに対してISPの対策は有効なのだろうか。小山氏によるとボットの利用するポートはランダム。IRCサーバーを中継サーバーに利用するボットが多いが、IRCで利用するTCP 6667番ポート以外のポートもランダムに利用する。スパムメールの送信も25番ポートだけを利用するわけではない。これではISPの伝家の宝刀である「ポートブロック」も役に立たないというわけだ。

　例えば、スパムメールを送信するゾンビPC1台で1時間あたり平均6,890通、1秒で1.94通のメールを送信する。この送信数自体は「緩いもの」（小山氏）だが、流通制限に引っかからないように1MTAあたり数通から数十通の送信にとどめ、次々とMTAを変更していくのが特徴だ。

　また、SubmissionPortやSPFなどの迷惑メール対策を“利用”してスパムメールを送信するボットも出現している。ユーザーを装ってメール送信することができるため、迷惑メール事業者のスパムメール送信を抑制するOutbound Port25 Blockingも「ボットには効かないかもしれない」（小山氏）。

● ISPでも対策がないわけではないが……

　ただ、ISPでも対策がないわけではない。小山氏が紹介した対策は、ボットがフィッシングサイトなどにアクセスする際に、DNSを使用する“習性”を利用するもの。DNSにボットをはじめとしたマルウェア情報を蓄積し、そのマルウェアがアクセスしようとするWebサイトへのリクエストがあった場合に、ユーザーに対してウイルス感染の可能性を警告する。フィッシングサイトの情報がリアルタイムで共有できれば、ほぼ100％の被害を防げるのではないかという。

　この方法はDNSを利用しないマルウェアには無効だが、現在のところ、ほとんどのボットはDNSを利用する。むしろ、「ボットが悪用する中継サーバーのIPアドレスを変更した場合にダイナミックDNSなどの仕組みを利用してアクセスするため、ボットの大部分がDNSを利用している」（高橋氏）。ボットは“正しい”フェイルオーバーの設定をしているというわけだ。

　今すぐにこうした対応を取ることも技術的には可能だが、小山氏は「しかし――」と言葉を濁らせる。小山氏が懸念するのは「DNSを活用した対策を取ることで一時的にボットの被害を防ぐことはできるかもしれない。ただし、すぐにDNSを使わずに被害を及ぼす新しいボットが出現する」こと。DNSを利用しないボットが流行すれば、ISPによる対策は現在よりも難しくなることは間違いない。そうした状況に進む可能性がある以上、DNSによる対策には慎重にならざるを得ない。小山氏は「回りをしっかり固めてから、対策を取っていきたい」とコメントした。

● W97M_EMBED.Aは日本政府を狙っていた!?

伊藤氏は、「ボットファイターズ」として通信事業者やセキュリティベンダーなどが連携するべきだという

　JPCERT/CCによれば、すでに一部でボット感染のコーディネーションは始まっている。伊藤氏によればボット感染の報告は、1つの報告について感染PCが多く、感染者に対する通知も多くなる。また、イントラネット内でボットに感染した場合は、検知したIPアドレスがファイアウォールのものになってしまい、感染PCの特定が難しい。

　イントラネット内のボット感染については小山氏が、10月18日に外務省を騙ったメールに添付されていたウイルス「W97M_EMBED.A」に注目。このウイルス自身は日本語のメールに添付されて感染を拡大する、いわゆるマスメール型ウイルスだが、感染すると別の「CSRSE.EXE」というファイルを作成する。実は、このファイルがバックドアを開けるウイルス「BKDR_EMBED.A」だった。小山氏は、ウイルスメールの返信メールを外務省職員が受け取っていたことから、W97M_EMBED.Aが日本政府内での感染拡大を狙ったボットなのではないかと疑問を持ったという。

　不幸中の幸いで、W97M_EMBED.Aは大規模感染には至らなかった。「最近のイントラネットではクライアントPCが認証することなしに外部と通信できないため、W97M_EMBED.Aは侵入に失敗したのではないか」と推理。ただし、イントラネットの管理者などイントラネットを熟知した技術者がボットを作成すれば、イントラネット内でボットネットを構築することも可能だ。こうしたボットネットによる情報漏洩などを防ぐために、「正規の通信と不正の通信との違いを見抜く能力や、ネットワークで何が起きていたのか分析するネットワークフォレンジックが重要だ」と指摘した。

　討論会の最後に伊藤氏は「ボットは亜種が多く、変化が大きい。情報があればあるほど対策が取れるはずだ。JPCERT/CCとしても、さまざまなプレイヤーに情報提供できるようにしたい」とコメント。「ボットファイターズ」として通信事業者やセキュリティベンダーなどが連携し、共同の敵であるボットに対することを呼びかけた。

（鷹木創）
2005/12/09 18:33

- ページの先頭へ-

INTERNET Watch ホームページ