Internet Watch logo
記事検索
最新ニュース

国内にも14万台以上のボット感染を確認~警察庁調査


 警察庁は25日、2005年上半期(1月~6月)におけるボットネットの観測結果を公表した。警察庁のサイバーフォースセンターの観測システムで把握したボットネットの実態についてまとめたもので、ボットに感染したと推定されるマシンは128万5,247台、そのうち国内と思われるものが14万4,512台に上っている。

 警察庁のサイバーフォースセンターでは、ウイルスなどによって攻撃用のプログラムを送り込まれたPCから構成される「ボットネット」の現状を把握するため、2005年1月からボットネット観測システムを構築し、運用している。

 2005年1月から6月までの観測結果によれば、ボットに感染したと推定されるIPアドレスは128万5,247アドレス存在し、そのうち国内が発信元と推定される件数は14万4,512アドレスに上った。国内でも多くのマシンがボットに感染していると考えられ、観測結果に記録されているドメイン名から、そのほとんどは個人ユーザーのPCと推測している。ボット感染の国・地域別の比率では、中国が20.6%、韓国が11.9%、日本が11.2%、米国が8.3%、台湾が4.1%などで、東アジア地域が半数近くを占めている。

 ボットネットの各マシンに攻撃などの命令を行なう指令サーバーは664アドレス存在し、国内と思われるものが93アドレス存在した。このうち84アドレスは、IPアドレスを逆引きすると国内プロバイダのADSLなどでよく使用される形式のホスト名であったことから、指令サーバーについても多くは個人ユーザーのPCと推測している。国・地域別の分類では、米国が35.2%、日本が14.0%、韓国が13.0%、イタリアが5.9%など。

 ボットネット指令サーバーが使用している接続ポートは、IRCで使用されるTCP 6667番ポートが52.5%と圧倒的に多く、プロキシサーバーで用いられるTCP 8080番ポートの6.1%などが続く。その他の接続ポートとしては、TCP 65000~65535番ポートが比較的多く利用されている。

 指令サーバーからの命令種別の分類は、感染活動が40.3%、チャットが16.6%、IRC操作・認証が16.1%、ダウンロード・更新活動が8.4%、情報収集が5.1%など。ボットの感染を拡大しようとする感染活動の手法としては、TCP 135番ポートを対象とするDCOMの脆弱性を悪用するものが65.3%、TCP 445番ポートを対象とするLSASSの脆弱性を悪用するものが7.7%などとなっている。


 ボットネットによる攻撃活動は、SYNFlood攻撃が45.9%、UDPFlood攻撃が17.8%、ACKFlood攻撃が13.8%、ICMP・pingFlood攻撃が12.6%で、DoS攻撃が大部分を占める。攻撃対象となったマシンの国・地域別の分類では、米国が46.1%と最も多く、以下はドイツが9.1%、イタリアが5.4%など。日本を対象とする攻撃は、3,531件中7件にとどまっている。

 SYNFlood攻撃の宛先ポート番号としては、IRCで利用されるTCP 6667番ポートが41.2%と最も多い。これについては、ボットネット構築者同士の争いから、他のボットネットの指令サーバーを妨害する目的で攻撃しているものと推測している。また、次に多いのはTCP 80番ポートの15.3%で、Webサーバーを狙った攻撃によりページの閲覧を困難にさせるのが目的と推測している。

 サイバーフォースセンターでは、観測しているボットネット指令サーバーのうち約20台が接続を拒否されるなど、ボットネットの観測者に対しても対策が進んできていると分析。今後は観測がより困難になると考えられるが、国内外の関係各機関との連携強化を含め、ボットネットの活動の把握に努めていくとしている。


関連情報

URL
  ボットネット観測結果(PDF)
  http://www.cyberpolice.go.jp/detect/pdf/20051025_botnet.pdf

関連記事
国内ユーザーの2~2.5%がボットネットに、防御側も組織的な対応が必須(2005/07/27)
攻撃ネットワーク「ボットネット」の規模は100万台以上~研究グループ報告(2005/03/15)


( 三柳英樹 )
2005/10/25 19:41

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.