IRCが無法地帯に? 「ngrBot」のボットネット管理にサイバー犯罪者が悪用


EMCジャパン株式会社RSA事業本部マーケティング部の水村明博氏

 EMCジャパン株式会社のRSA事業本部は5月31日、オンライン犯罪に関する月例の記者説明会を開催し、IRCを悪用するマルウェア「ngrBot」について、同社マーケティング部の水村明博氏が解説した。

 ngrBotそのものは、RSAの顧客企業をターゲットにしたものを2009年にすでに検知していたという。一方、RSAでは最近になって、トロイの木馬への感染が急増していることを観測していたが、それがngrBotによるものだということがわかった。

 水村氏によると、ngrBotは、次々と自己複製して感染を拡大するするワームと、銀行を狙うトロイの木馬の性質を併せ持っている。USBデバイス、LAN、メールなどを経由して感染を広げるが、特にSNSやインスタントメッセージの「Wow hahahaha」で始まるコメントとして送られる不正リンクが多いという。

 また、ngrBotに感染したPC(ボット)を犯罪者が管理するのに、IRC(Internet Relay Chat)を使っているのが特徴。ngrBotは、感染したPCに自らをrootkitとしてインストールし、Windows Live Messengerを装って潜伏するとともに、あらかじめ設定されたIRCサーバーにサインインする。ボットネットの管理者は、IRCチャネルのメンバーにプライベートメッセージを送信したり、ファイル共有する機能を使って、ボットへコマンドを出したり、マルウェアファイルの更新、感染PCからのデータやログの回収を行っているという。

 水村氏は、犯罪者がIRCチャネルを利用する理由について、無料であること、一般ユーザーも多く使っている通信手段のために当局によって閉鎖される可能性が極めて低いことを挙げる。さらに、本来はIRCの不正利用を防止するための機能が犯罪者に役立っているとも指摘する。すなわち、サーバーの切断や再接続、特定クライアントの切断、特定IPアドレスからの利用禁止など、IRCの監視用の機能を利用できる管理ユーザー(通称“IRCop”)の機能が、ボットネットを管理するのに最適なのだという。

 ちなみに、ngrBotの管理者は自ら「BOSS」と名乗り、「irc.priv8net5.com」というチャネルを運用していることをRSAでは突き止めた。ただし、部外者がこのチャネルに入ろうとしてもアクセスは拒否され、外から見ただけでは通常のIRCチャネルと区別できないとしている。

 水村氏は、IRCの世界があまりにも大きくなりすぎたために、個々のIRCサーバーの管理者もルールを強制的に守らせることができなくなり、「無法地帯」になっていると指摘。むしろサイバー犯罪者の方がIRCの機能を使いこなしているのが現実だとした。

 なお、RSAがngrBotを解析したところによると、ターゲットになっているのはロシアとスペイン語圏で、大手銀行や金融機関、大手ウェブメール事業者、オンラインゲームポータル、SSL証明事業者などのURLへ被害者がアクセスするのをトリガーとして稼働するとしている。


関連情報


(永沢 茂)

2011/6/1 06:00