自社サーバが攻撃役に!ボット感染最新事情

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

自社サーバが攻撃役に!ボット感染最新事情

2010/02/02


 「ある日突然Webサイトが使えなくなった!」「Webサイトが改ざんされてウイルス被害をひき起こしていた!」「クレジット番号などの個人情報が漏洩していた!」……その被害には、システムに潜む「ボット」と呼ばれるマルウェアが関与しているかもしれない。今回は、Webサイトのサービス妨害をはじめとするさまざまな不正行為を行い、最近では直接的な金銭被害をももたらすようになったボットについて、その攻撃の方法と感染の仕方、そして対策法を2回に分けて紹介する。

ボット

#013

日本のサーバも踏み台に!ホワイトハウスのサイト攻撃

 2009年7月、アメリカのホワイトハウスのWebサイトが突然閲覧できない状態に陥った。同じ頃、同国国防総省、国務省などの官庁、さらにはニューヨーク証券取引所のサイトも同様にアクセスできない状況が続いていた。同様の事態は、時を同じくして遠く韓国でも発生していた。大統領府である青瓦台、国防省、外交通商省、国会など政府機関や新聞社、銀行サイトがやはり閲覧不能になっていた。それぞれのサービスが止まる状態は一時的なものではあったが、両国合わせて35の機関が直面したこのサービス不能事件は、両国の調査の結果、同じ何者かの意図によって引き起こされたものであることがわかった。これらすべての事態はボットに感染した大量のPCからの国際的なDDoS攻撃(Distributed Denial of Service Attack:分散型サービス妨害攻撃)によるものだったのだ。
 やがてこの一連の攻撃に動員されたのは、主に韓国の5万5000台にのぼるPCと、それらPCに潜んでいたボットに指令を下すための416台のサーバだったことが、各国の捜査機関による捜査により明らかになった。某国の諜報組織の関わりもとりざたされたものの、目的や意図は現在も不明で、攻撃の主体はわかっていない。攻撃に関連する被害は、DDoS攻撃先ばかりでなく、攻撃の踏み台とされたPCにも及んだ。ボット感染PCは攻撃後に起動不能にさせられていた。
 なお、攻撃指令を行ったサーバの中には日本国内のサーバも含まれていた。警察庁による2009年12月の発表によれば、6都県8ヵ所に分布する8台の大手通信関連企業やコンピュータ関連会社のサーバが指令役として利用されていたという。これらサーバの所有者たちは、攻撃に利用されたことに少しも気づくことがなかったようだ。
 国内ではあくまで8台のサーバが指令役として機能しただけで、国内サイトはDDoS攻撃を受けてはいなかったものの、セキュリティ面で堅牢と思われている企業のサーバが攻撃の道具に使われたり、利用者自身が気づかないままに大量のPCがボットネットに組み入れられていたりした事実は、ボットによる攻撃などがいつ何時、どんな形で開始されるかわからない不気味さを感じさせた。




1

DDOS攻撃の仕組み

 このケースは、ボット(BOT)を巧みに利用したDDoS攻撃の典型パターンといえよう。ボットとはウイルスの一種で、インターネット越しにコンピュータを遠隔操作することができる機能をもったもののことをいう。ボットという名前は、コンピュータがまるでロボットのように操られるところからつけられたものだ。特定のWebサーバめがけて大量のデータを送信してサーバを機能不全に陥らせ、業務妨害を行うのがDoS攻撃で、中でもケースファイルのように多数のコンピュータから一斉・集中的に大量の接続やデータ送信を行うことにより、サイトが正常に機能しないようにする攻撃をDDoS攻撃という。
 このケースの場合、次のような攻撃が行われたようだ。
 ボットがPCに感染すると、その一部であるW32.Mytob!gen(シマンテック社による識別名・以下同)が、そのPCにあるメールアドレスを利用して、W32.Dozerと呼ばれるマルウェアのパッケージをメールに添付して送り出す( .bat、.cmd、.exe、.pif、.scr、.zipなどの拡張子をもつ添付ファイルにする)。
 送信されたW32.Dozerが別のPCで実行されると、そのPCにTrojan.DozerとW32.Mydoom.A@mmをインストールする。Trojan.DozerはDDoS攻撃を行うためのトロイの木馬だ。W32.Mydoom.A@mmはメールアドレス収集とマルウェア添付メールの送信を行うW32.Mytob!genをPCにインストールするための道具だ。W32.Mytob!genがインストールされてしまうと、PC内のメールアドレスに対してW32.Dozerが送信されてしまう。
 この繰り返しで感染PCは次々に増えていく。それが5万5000台程度に増えた時点で、Trojan.DozerによるDDoS攻撃が一斉に行われたのがケースファイルの事例だ。

図1 ボットW32.Dozerによる攻撃のイメージ
図1 ボットW32.Dozerによる攻撃のイメージ

セキュリティ情報局にご登録頂いた方限定で「自社サーバが攻撃役に!ボット感染最新事情」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

ボット/自社サーバが攻撃役に!ボット感染最新事情」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ボット」関連情報をランダムに表示しています。

ボット」関連の製品

誰でも簡単にデータ分析できるBIツール「Actionista!」 【ジャストシステム】 hitTO(ヒット) 【ソフトバンク】 AI-Q 【ソフトバンク】
BI データ分析ソリューション サービスデスク
“かんたん、きれい、分かりやすい”
「誰でも分析」を実現するオールインワンBIツール。誰でも簡単に本格的な分析が行え、分析結果を組織内で自由に共有することが可能。
複数の質問に同時対応、AIで問い合わせ対応を自動化する チャットボットが即回答、年中無休の「社内問い合わせ対応」システムの実力は?

ボット」関連の特集


情報漏洩防止のためとはいえ、自社で記録媒体のデータ消去は正直大変…そこで役立つのがデータ消去サービス…



Pepperに乗り移る…体験したのはPepperに憑依できるアプリ。さまざまな人が触れ合っていくPe…



人間の身体、五感、頭脳の能力をITをはじめとする技術で拡張した「超人スポーツ」が登場!未来の五輪へ、…


ボット」関連のセミナー

「第4次産業革命を読み解く!」 【重要生活機器連携セキュリティ協議会】  

開催日 4月26日(水)   開催地 東京都   参加費 有料 2万8080円(税込)

「第4次産業革命」とも呼ぶべきIoT、ビッグデータ、ロボット、人工知能(AI)等による技術革新は、従来にないスピードとインパクトで進行しています。この技術革新を…

「コールセンターとAI活用の現状・課題」 (1) 【ビジネスインテリジェンスネットワーク】  

開催日 4月20日(木)   開催地 東京都   参加費 有料 2万8080円(税込)

近年、人工知能の研究は目覚ましく、大手IT事業者がそれぞれに独自の技術を発表しています。人工知能は人間の仕事を代行できると大きな期待が寄せられ、多くの仕事が近い…

「働き方改革・健康経営」成功のカギは業務改善・自動化(RPA) 【ユーザックシステム】  

開催日 4月10日(月)   開催地 大阪府   参加費 無料

労働人口が減少するなか企業では慢性的な労働力・人材不足の状況が続いております。新規採用も売り手市場の中、生産性を向上し、残業などの労働環境の改善を行い健康経営を…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003465


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ