自社サーバが攻撃役に!ボット感染最新事情

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

自社サーバが攻撃役に!ボット感染最新事情

2010/02/02


 「ある日突然Webサイトが使えなくなった!」「Webサイトが改ざんされてウイルス被害をひき起こしていた!」「クレジット番号などの個人情報が漏洩していた!」……その被害には、システムに潜む「ボット」と呼ばれるマルウェアが関与しているかもしれない。今回は、Webサイトのサービス妨害をはじめとするさまざまな不正行為を行い、最近では直接的な金銭被害をももたらすようになったボットについて、その攻撃の方法と感染の仕方、そして対策法を2回に分けて紹介する。

ボット

#013

日本のサーバも踏み台に!ホワイトハウスのサイト攻撃

 2009年7月、アメリカのホワイトハウスのWebサイトが突然閲覧できない状態に陥った。同じ頃、同国国防総省、国務省などの官庁、さらにはニューヨーク証券取引所のサイトも同様にアクセスできない状況が続いていた。同様の事態は、時を同じくして遠く韓国でも発生していた。大統領府である青瓦台、国防省、外交通商省、国会など政府機関や新聞社、銀行サイトがやはり閲覧不能になっていた。それぞれのサービスが止まる状態は一時的なものではあったが、両国合わせて35の機関が直面したこのサービス不能事件は、両国の調査の結果、同じ何者かの意図によって引き起こされたものであることがわかった。これらすべての事態はボットに感染した大量のPCからの国際的なDDoS攻撃(Distributed Denial of Service Attack:分散型サービス妨害攻撃)によるものだったのだ。
 やがてこの一連の攻撃に動員されたのは、主に韓国の5万5000台にのぼるPCと、それらPCに潜んでいたボットに指令を下すための416台のサーバだったことが、各国の捜査機関による捜査により明らかになった。某国の諜報組織の関わりもとりざたされたものの、目的や意図は現在も不明で、攻撃の主体はわかっていない。攻撃に関連する被害は、DDoS攻撃先ばかりでなく、攻撃の踏み台とされたPCにも及んだ。ボット感染PCは攻撃後に起動不能にさせられていた。
 なお、攻撃指令を行ったサーバの中には日本国内のサーバも含まれていた。警察庁による2009年12月の発表によれば、6都県8ヵ所に分布する8台の大手通信関連企業やコンピュータ関連会社のサーバが指令役として利用されていたという。これらサーバの所有者たちは、攻撃に利用されたことに少しも気づくことがなかったようだ。
 国内ではあくまで8台のサーバが指令役として機能しただけで、国内サイトはDDoS攻撃を受けてはいなかったものの、セキュリティ面で堅牢と思われている企業のサーバが攻撃の道具に使われたり、利用者自身が気づかないままに大量のPCがボットネットに組み入れられていたりした事実は、ボットによる攻撃などがいつ何時、どんな形で開始されるかわからない不気味さを感じさせた。




1

DDOS攻撃の仕組み

 このケースは、ボット(BOT)を巧みに利用したDDoS攻撃の典型パターンといえよう。ボットとはウイルスの一種で、インターネット越しにコンピュータを遠隔操作することができる機能をもったもののことをいう。ボットという名前は、コンピュータがまるでロボットのように操られるところからつけられたものだ。特定のWebサーバめがけて大量のデータを送信してサーバを機能不全に陥らせ、業務妨害を行うのがDoS攻撃で、中でもケースファイルのように多数のコンピュータから一斉・集中的に大量の接続やデータ送信を行うことにより、サイトが正常に機能しないようにする攻撃をDDoS攻撃という。
 このケースの場合、次のような攻撃が行われたようだ。
 ボットがPCに感染すると、その一部であるW32.Mytob!gen(シマンテック社による識別名・以下同)が、そのPCにあるメールアドレスを利用して、W32.Dozerと呼ばれるマルウェアのパッケージをメールに添付して送り出す( .bat、.cmd、.exe、.pif、.scr、.zipなどの拡張子をもつ添付ファイルにする)。
 送信されたW32.Dozerが別のPCで実行されると、そのPCにTrojan.DozerとW32.Mydoom.A@mmをインストールする。Trojan.DozerはDDoS攻撃を行うためのトロイの木馬だ。W32.Mydoom.A@mmはメールアドレス収集とマルウェア添付メールの送信を行うW32.Mytob!genをPCにインストールするための道具だ。W32.Mytob!genがインストールされてしまうと、PC内のメールアドレスに対してW32.Dozerが送信されてしまう。
 この繰り返しで感染PCは次々に増えていく。それが5万5000台程度に増えた時点で、Trojan.DozerによるDDoS攻撃が一斉に行われたのがケースファイルの事例だ。

図1 ボットW32.Dozerによる攻撃のイメージ
図1 ボットW32.Dozerによる攻撃のイメージ

セキュリティ情報局にご登録頂いた方限定で「自社サーバが攻撃役に!ボット感染最新事情」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

ボット/自社サーバが攻撃役に!ボット感染最新事情」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ボット」関連情報をランダムに表示しています。

ボット」関連の製品

オールインワンBIツール Actionista! 【ジャストシステム】 Excelをドラッグ&ドロップで分析を開始できるBIツール「Actionista!」 【ジャストシステム】 簡単BIを検証!分析スキルがほとんどない記者も使いこなせるか? 【ジャストシステム】
BI BI BI
“かんたん、きれい、分かりやすい”
「誰でも分析」を実現するオールインワンBIツール。誰でも簡単に本格的な分析が行え、分析結果を組織内で自由に共有することが可能。
専用クライアント不要。ブラウザベースで「誰でも分析」を実現するオールインワンBIツール。誰でも簡単に本格的な分析が行え分析結果を組織内で自由に共有することが可能。 分析スキル「ゼロ」でも使えるBIツールを本当にスキル「ゼロ」の彼が使ってみた

ボット」関連の特集


 自社Webサイトに潜在的な顧客層を誘導するためには「レスポンシブWebデザイン」が重要といわれてい…



対応費用に8億円!?組織化・凶悪化する“スクリプトキディ”に狙われた企業はどう守る?従来型のアンチウ…



迷惑メールの総称「スパム」の実態と、スパム被害から企業を守るスパム対策ツールの基礎を徹底解体!7つの…


ボット」関連のセミナー

ロボホン タブレット連携ソリューション ご紹介セミナー 【シャープマーケティングジャパン】 締切間近 

開催日 10月20日(金)〜11月30日(木)   開催地 オンラインセミナー   参加費 無料

ロボットを接客や受付応対に活用しようとする企業が増えています。一方、「興味はあるけど、どのように活用できるの?」という声も多くあります。その様な法人のお客様向け…

RPA(BizRobo!)ロボット構築方法が分かる! RPA無料セミナー 【大洋システムテクノロジー】  

開催日 11月22日(水),12月14日(木)   開催地 東京都   参加費 無料

・最近よくRPAという単語を目にするけれど、RPAって実際どんなもの?・RPAでどんなことができるの?私の仕事も効率化できる?・どんな業務に使うと効果的?・Bi…

業務自動化ソリューション ご紹介セミナー 【日立ソリューションズ】 締切間近 

開催日 11月30日(木)   開催地 大阪府   参加費 無料

 昨今、「働き方改革」は国を挙げた重要施策として位置づけられ、企業内で取り組みが進む中生産性の向上や社員の意識改革など、さまざまな課題が顕在化しています。 組織…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003465


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ