自社サーバが攻撃役に!ボット感染最新事情

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

自社サーバが攻撃役に!ボット感染最新事情

2010/02/02


 「ある日突然Webサイトが使えなくなった!」「Webサイトが改ざんされてウイルス被害をひき起こしていた!」「クレジット番号などの個人情報が漏洩していた!」……その被害には、システムに潜む「ボット」と呼ばれるマルウェアが関与しているかもしれない。今回は、Webサイトのサービス妨害をはじめとするさまざまな不正行為を行い、最近では直接的な金銭被害をももたらすようになったボットについて、その攻撃の方法と感染の仕方、そして対策法を2回に分けて紹介する。

ボット

#013

日本のサーバも踏み台に!ホワイトハウスのサイト攻撃

 2009年7月、アメリカのホワイトハウスのWebサイトが突然閲覧できない状態に陥った。同じ頃、同国国防総省、国務省などの官庁、さらにはニューヨーク証券取引所のサイトも同様にアクセスできない状況が続いていた。同様の事態は、時を同じくして遠く韓国でも発生していた。大統領府である青瓦台、国防省、外交通商省、国会など政府機関や新聞社、銀行サイトがやはり閲覧不能になっていた。それぞれのサービスが止まる状態は一時的なものではあったが、両国合わせて35の機関が直面したこのサービス不能事件は、両国の調査の結果、同じ何者かの意図によって引き起こされたものであることがわかった。これらすべての事態はボットに感染した大量のPCからの国際的なDDoS攻撃(Distributed Denial of Service Attack:分散型サービス妨害攻撃)によるものだったのだ。
 やがてこの一連の攻撃に動員されたのは、主に韓国の5万5000台にのぼるPCと、それらPCに潜んでいたボットに指令を下すための416台のサーバだったことが、各国の捜査機関による捜査により明らかになった。某国の諜報組織の関わりもとりざたされたものの、目的や意図は現在も不明で、攻撃の主体はわかっていない。攻撃に関連する被害は、DDoS攻撃先ばかりでなく、攻撃の踏み台とされたPCにも及んだ。ボット感染PCは攻撃後に起動不能にさせられていた。
 なお、攻撃指令を行ったサーバの中には日本国内のサーバも含まれていた。警察庁による2009年12月の発表によれば、6都県8ヵ所に分布する8台の大手通信関連企業やコンピュータ関連会社のサーバが指令役として利用されていたという。これらサーバの所有者たちは、攻撃に利用されたことに少しも気づくことがなかったようだ。
 国内ではあくまで8台のサーバが指令役として機能しただけで、国内サイトはDDoS攻撃を受けてはいなかったものの、セキュリティ面で堅牢と思われている企業のサーバが攻撃の道具に使われたり、利用者自身が気づかないままに大量のPCがボットネットに組み入れられていたりした事実は、ボットによる攻撃などがいつ何時、どんな形で開始されるかわからない不気味さを感じさせた。




1

DDOS攻撃の仕組み

 このケースは、ボット(BOT)を巧みに利用したDDoS攻撃の典型パターンといえよう。ボットとはウイルスの一種で、インターネット越しにコンピュータを遠隔操作することができる機能をもったもののことをいう。ボットという名前は、コンピュータがまるでロボットのように操られるところからつけられたものだ。特定のWebサーバめがけて大量のデータを送信してサーバを機能不全に陥らせ、業務妨害を行うのがDoS攻撃で、中でもケースファイルのように多数のコンピュータから一斉・集中的に大量の接続やデータ送信を行うことにより、サイトが正常に機能しないようにする攻撃をDDoS攻撃という。
 このケースの場合、次のような攻撃が行われたようだ。
 ボットがPCに感染すると、その一部であるW32.Mytob!gen(シマンテック社による識別名・以下同)が、そのPCにあるメールアドレスを利用して、W32.Dozerと呼ばれるマルウェアのパッケージをメールに添付して送り出す( .bat、.cmd、.exe、.pif、.scr、.zipなどの拡張子をもつ添付ファイルにする)。
 送信されたW32.Dozerが別のPCで実行されると、そのPCにTrojan.DozerとW32.Mydoom.A@mmをインストールする。Trojan.DozerはDDoS攻撃を行うためのトロイの木馬だ。W32.Mydoom.A@mmはメールアドレス収集とマルウェア添付メールの送信を行うW32.Mytob!genをPCにインストールするための道具だ。W32.Mytob!genがインストールされてしまうと、PC内のメールアドレスに対してW32.Dozerが送信されてしまう。
 この繰り返しで感染PCは次々に増えていく。それが5万5000台程度に増えた時点で、Trojan.DozerによるDDoS攻撃が一斉に行われたのがケースファイルの事例だ。

図1 ボットW32.Dozerによる攻撃のイメージ
図1 ボットW32.Dozerによる攻撃のイメージ

セキュリティ情報局にご登録頂いた方限定で「自社サーバが攻撃役に!ボット感染最新事情」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

ボット/自社サーバが攻撃役に!ボット感染最新事情」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ボット」関連情報をランダムに表示しています。

ボット」関連の製品

オールインワンBIツール Actionista! 【ジャストシステム】 ディフェンスプラットフォーム(DeP) 【ハミングヘッズ】 Barracuda Web Application Firewall 【バラクーダネットワークスジャパン】
BI アンチウイルス WAF
“かんたん、きれい、分かりやすい”
「誰でも分析」を実現するオールインワンBIツール。誰でも簡単に本格的な分析が行え、分析結果を組織内で自由に共有することが可能。
APIの利用を常時監視してウイルスを検出・隔離する割込み型迎撃方式のウイルス対策ソフト。APIの利用内容でウイルスか否かを識別するため未知のウイルスも捕捉できる。 ファイアウォールやIDS/IPSで保護できない、Webサイトへの外部からの不正アクセスを防御。SQLインジェクションやXSSなどによる顧客情報流出やWebサービス停止を確実に防止

ボット」関連の特集


 前回までに、脅威がもたらす組織へのビジネスインパクトについて記載した。今回は、「2010年版 10…



リアル店舗の経営では、スタッフのホスピタリティが非常に重要です。そこで今回は、電子マニュアルや、タブ…



通信元と通信先の間に割って入り、どちらにも悟られないように悪事をはたらく中間者攻撃。具体的な手口と対…


ボット」関連のセミナー

成長企業が注目する次世代ERP 【主催:三菱ケミカルシステム/共催:AJS/協賛:SAPジャパン】  

開催日 6月2日(金)   開催地 大阪府   参加費 無料

IoT、ビッグデータ活用、AIやロボットの活用。企業が取り扱うデータは、今“変革の時代”に入っています。IoTの時代に向け、将来企業のシステム像は何か。今回、製…

脅威に立ち向かうために求められる企業セキュリティとは 【インターネットイニシアティブ/セキュアスカイ・テクノロジー 共催】  

開催日 5月19日(金)   開催地 東京都   参加費 無料

近年、「DDoS攻撃」「情報漏えい」「不正ログイン」「Webサイト改ざん」による被害は後を絶ちません。企業でのIoT機器やクラウド利用が急速に広がる中、規模・業…

AIのビジネス活用セミナー 【日立システムズ】 締切間近 

開催日 4月26日(水)   開催地 東京都   参加費 無料

「AI」「IoT」「ビッグデータ」などのITキーワードが注目されはじめてから久しくなり、多くの企業さまでの重要な検討課題となっていたり、すでに取り組み始めておら…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003465


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ