「RSA Conference Japan 2006」では、NTTコミュニケーションズの小山覚氏がTelecom-ISAC Japanで実施したボットネットの実態調査に関する講演を行なった。
● ボットネットの構築はある程度の知識があれば可能
|
NTTコミュニケーションズの小山覚氏
|
通信事業者を中心としたセキュリティ団体「Telecom-ISAC Japan」では、継続してボットネットの実態に関する調査を実施している。前回の調査では、トラフィックモニターなどの観測結果から、国内ユーザーの2~2.5%がボットネットに感染している疑いがあると分析。今回の調査では、ボットネットのソースコードを入手し、擬似的な環境の中で実際に動作させることで、ボットネットの挙動と能力についての分析を行なった。
入手したボットは、近接したIPアドレスに感染活動を行ない、IRCを通じて攻撃命令を受け付ける一般的なもので、ソースコードは設定すべき項目にコメントが付けられているなど、改造も容易なものであったという。このボットを擬似的なネットワーク上の1台のマシンに感染させ、IRCサーバーを立ち上げてボットの振る舞いを観測した。
PCがボットに感染すると、まずはウイルス対策ソフトがインストールされているかを検出し、hostsファイルを書き換えてパターンファイルがアップデートできないようにするなど、存在が発見されないようにするための活動を開始した。次に、近隣のIPアドレスに対してOSの脆弱性などを利用して感染活動を開始。これらのマシンが指定されたIRCサーバーに接続し、攻撃命令を待つボットネットがすぐに構築されたという。また、ボットにはパスワードが埋め込まれており、他の攻撃者などにボットネットを乗っ取られないよう、本物の攻撃者であることを確認する仕組みとなっていた。
小山氏は、「今回の検証では、ボットネットの構築はある程度の知識があれば極めて簡単に行なえることが確認できた」として、より深刻な問題としてボットネット対策を進めていかなければならないと警告する。
|
|
入手したボットのソースコード。設定項目にコメントが付けられている
|
感染したマシンが近接のIPアドレスに対して感染活動を行ない、ボットネットを構築する
|
● 1つのサーバーが閉鎖されてもすぐに復元が可能な“優れたシステム”
また、攻撃者はボットに対してほぼどのような命令も可能であることが判明したとして、ボットの挙動を紹介。迷惑メールの送信に使う場合には、メールがボットの各マシンからリダイレクトされる形で送信されることを確認。ボットに対しては不特定のTCPポート番号でメールの送信が可能で、これを受け取ったボットが通常のメールと同様にTCP 25番ポートを使って転送を行なう。メールサーバーは設定されたプロバイダーのものを使い、ボット1台あたりでは大量のメール送信を行なわないため、TCP 25番ポートのブロックや、短時間に大量のメール送信を禁止する措置など、これまでの迷惑メール対策をすり抜けるための仕組みが備わっていることが確認できたという。
DDoS攻撃はより単純で、IRCで指示されたサイトに対してボットの各マシンが一斉に攻撃を開始する。実験では、ボットの各マシンに能力の限界まで攻撃を行なわせることができることを確認。永久に攻撃させ続けると次の命令ができないことなどから、攻撃する時間帯や間隔などの指定も可能になっているという。
このほか、ボットにコマンドを送ることでボットマシンのあらゆる情報を入手することが可能となるほか、任意のボットマシンをHTTPサーバーにして外部から参照することや、任意のプログラムを動作させることができることを確認。攻撃命令に用いるIRCサーバーもあらかじめ2つ指定されており、IRCサーバーが閉鎖されてもすぐにもう1つのIRCサーバーに接続し、ボットネットが回復するという。また、ボットにはマシンやネットワークのパフォーマンスを計測する機能があり、性能の良いマシンをWebサーバーやIRCサーバーに仕立て上げ、現在使っているサーバーが閉鎖された場合でも、すぐに代替のサーバーを用意することも可能だとした。
小山氏はこうした検証から、「ボットネットは性能的に優れたシステム。相手は真剣であり、我々も真剣に対応しなければいけない」と警告。Telecom-ISAC Japanが、ボットに感染しているユーザーに対してISPを通じて注意を喚起するといった活動を紹介し、「ボットネットに特効薬はなく、脆弱性の残っているPCやサーバーなどを地道に潰していくといった行動あるのみ」と語り、講演を締めくくった。
|
|
ボットネットを使った迷惑メールの送信。ボットをリダイレクターとして利用する
|
ボットをWebサーバーにして、ハードディスクの中身を全て公開することも可能
|
関連情報
■URL
Telecom-ISAC Japan
https://www.telecom-isac.jp/
■関連記事
・ 国内ユーザーの2~2.5%がボットネットに、防御側も組織的な対応が必須(2005/07/27)
・ ACCS、Antinnyの感染者に再び注意喚起(2006/02/21)
・ Telecom-ISAC Japanが「ANTINNYウイルス対策サイト」開設(2006/03/15)
( 三柳英樹 )
2006/04/26 21:18
- ページの先頭へ-
|