自社サーバが攻撃役に!ボット感染最新事情

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

自社サーバが攻撃役に!ボット感染最新事情

2010/02/02


 「ある日突然Webサイトが使えなくなった!」「Webサイトが改ざんされてウイルス被害をひき起こしていた!」「クレジット番号などの個人情報が漏洩していた!」……その被害には、システムに潜む「ボット」と呼ばれるマルウェアが関与しているかもしれない。今回は、Webサイトのサービス妨害をはじめとするさまざまな不正行為を行い、最近では直接的な金銭被害をももたらすようになったボットについて、その攻撃の方法と感染の仕方、そして対策法を2回に分けて紹介する。

ボット

#013

日本のサーバも踏み台に!ホワイトハウスのサイト攻撃

 2009年7月、アメリカのホワイトハウスのWebサイトが突然閲覧できない状態に陥った。同じ頃、同国国防総省、国務省などの官庁、さらにはニューヨーク証券取引所のサイトも同様にアクセスできない状況が続いていた。同様の事態は、時を同じくして遠く韓国でも発生していた。大統領府である青瓦台、国防省、外交通商省、国会など政府機関や新聞社、銀行サイトがやはり閲覧不能になっていた。それぞれのサービスが止まる状態は一時的なものではあったが、両国合わせて35の機関が直面したこのサービス不能事件は、両国の調査の結果、同じ何者かの意図によって引き起こされたものであることがわかった。これらすべての事態はボットに感染した大量のPCからの国際的なDDoS攻撃(Distributed Denial of Service Attack:分散型サービス妨害攻撃)によるものだったのだ。
 やがてこの一連の攻撃に動員されたのは、主に韓国の5万5000台にのぼるPCと、それらPCに潜んでいたボットに指令を下すための416台のサーバだったことが、各国の捜査機関による捜査により明らかになった。某国の諜報組織の関わりもとりざたされたものの、目的や意図は現在も不明で、攻撃の主体はわかっていない。攻撃に関連する被害は、DDoS攻撃先ばかりでなく、攻撃の踏み台とされたPCにも及んだ。ボット感染PCは攻撃後に起動不能にさせられていた。
 なお、攻撃指令を行ったサーバの中には日本国内のサーバも含まれていた。警察庁による2009年12月の発表によれば、6都県8ヵ所に分布する8台の大手通信関連企業やコンピュータ関連会社のサーバが指令役として利用されていたという。これらサーバの所有者たちは、攻撃に利用されたことに少しも気づくことがなかったようだ。
 国内ではあくまで8台のサーバが指令役として機能しただけで、国内サイトはDDoS攻撃を受けてはいなかったものの、セキュリティ面で堅牢と思われている企業のサーバが攻撃の道具に使われたり、利用者自身が気づかないままに大量のPCがボットネットに組み入れられていたりした事実は、ボットによる攻撃などがいつ何時、どんな形で開始されるかわからない不気味さを感じさせた。




1

DDOS攻撃の仕組み

 このケースは、ボット(BOT)を巧みに利用したDDoS攻撃の典型パターンといえよう。ボットとはウイルスの一種で、インターネット越しにコンピュータを遠隔操作することができる機能をもったもののことをいう。ボットという名前は、コンピュータがまるでロボットのように操られるところからつけられたものだ。特定のWebサーバめがけて大量のデータを送信してサーバを機能不全に陥らせ、業務妨害を行うのがDoS攻撃で、中でもケースファイルのように多数のコンピュータから一斉・集中的に大量の接続やデータ送信を行うことにより、サイトが正常に機能しないようにする攻撃をDDoS攻撃という。
 このケースの場合、次のような攻撃が行われたようだ。
 ボットがPCに感染すると、その一部であるW32.Mytob!gen(シマンテック社による識別名・以下同)が、そのPCにあるメールアドレスを利用して、W32.Dozerと呼ばれるマルウェアのパッケージをメールに添付して送り出す( .bat、.cmd、.exe、.pif、.scr、.zipなどの拡張子をもつ添付ファイルにする)。
 送信されたW32.Dozerが別のPCで実行されると、そのPCにTrojan.DozerとW32.Mydoom.A@mmをインストールする。Trojan.DozerはDDoS攻撃を行うためのトロイの木馬だ。W32.Mydoom.A@mmはメールアドレス収集とマルウェア添付メールの送信を行うW32.Mytob!genをPCにインストールするための道具だ。W32.Mytob!genがインストールされてしまうと、PC内のメールアドレスに対してW32.Dozerが送信されてしまう。
 この繰り返しで感染PCは次々に増えていく。それが5万5000台程度に増えた時点で、Trojan.DozerによるDDoS攻撃が一斉に行われたのがケースファイルの事例だ。

図1 ボットW32.Dozerによる攻撃のイメージ
図1 ボットW32.Dozerによる攻撃のイメージ

セキュリティ情報局にご登録頂いた方限定で「自社サーバが攻撃役に!ボット感染最新事情」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

ボット/自社サーバが攻撃役に!ボット感染最新事情」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ボット」関連情報をランダムに表示しています。

ボット」関連の製品

誰でも簡単にデータ分析できるBIツール「Actionista!」 【ジャストシステム】 ロボットがビッグデータ分析を自動化――予測分析モデルを誰でも利用可能に 【新日鉄住金ソリューションズ】 DDoS対策アプライアンス Arbor Networks APS 【アーバーネットワークス】
BI データ分析ソリューション その他ネットワークセキュリティ関連
“かんたん、きれい、分かりやすい”
「誰でも分析」を実現するオールインワンBIツール。誰でも簡単に本格的な分析が行え、分析結果を組織内で自由に共有することが可能。
ロボットがビッグデータ分析を自動化――予測分析モデルを誰でも利用可能に 全世界のトラフィックをリアルタイムで収集・分析。そのデータをもとに、DDos攻撃による脅威をブロックする高精度な対策を提供。

ボット」関連の特集


メディアも世間も賑わせている人工知能ですが、本当に新しいビジネス価値を生み出している?AIの虚像をア…



簡単に始められるけれど、続けるのがなかなか難しいブログ。でも、こんなロボットが手伝ってくれたら更新も…



今この瞬間も進化・増殖を続ける恐怖のウイルス。今回は大切な企業の財産を守る「アンチウイルスソフト」の…


ボット」関連のセミナー

第71回事例研究フォーラム 【ティーピクス研究所/アイエルアイ総合研究所】 締切間近 

開催日 3月3日(金)   開催地 愛知県   参加費 無料

Excelをプラットフォームとしたデータベースシステム構築ユーザ事例の紹介セミナーです。Excelと『StiLL』とDBを使って実際に開発されたシステムの事例発…

Salesforce×Fintechを活用した電子請求システムの事例セミナー 【Cloud Payment】 締切間近 

開催日 2月24日(金)   開催地 東京都   参加費 無料

人手不足を解消し生産性を向上させるソリューションとして、クラウドサービスやFintechを導入する企業が注目を集めている昨今。本セミナーでは、Salesforc…

請求書などの郵送業務カイゼン・電子請求システムの構築事例公開 【ネクスウェイ/Cloud Payment】 締切間近 

開催日 2月27日(月)   開催地 東京都   参加費 無料

請求書をはじめとする帳票の郵送は、企業間取引には欠かせない業務です。しかし、請求書を1通郵送するだけでも、紙代、切手代、封筒代、封緘の人件費と、様々なコストがか…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003465


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ