自社サーバが攻撃役に!ボット感染最新事情

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

自社サーバが攻撃役に!ボット感染最新事情

2010/02/02


 「ある日突然Webサイトが使えなくなった!」「Webサイトが改ざんされてウイルス被害をひき起こしていた!」「クレジット番号などの個人情報が漏洩していた!」……その被害には、システムに潜む「ボット」と呼ばれるマルウェアが関与しているかもしれない。今回は、Webサイトのサービス妨害をはじめとするさまざまな不正行為を行い、最近では直接的な金銭被害をももたらすようになったボットについて、その攻撃の方法と感染の仕方、そして対策法を2回に分けて紹介する。

ボット

#013

日本のサーバも踏み台に!ホワイトハウスのサイト攻撃

 2009年7月、アメリカのホワイトハウスのWebサイトが突然閲覧できない状態に陥った。同じ頃、同国国防総省、国務省などの官庁、さらにはニューヨーク証券取引所のサイトも同様にアクセスできない状況が続いていた。同様の事態は、時を同じくして遠く韓国でも発生していた。大統領府である青瓦台、国防省、外交通商省、国会など政府機関や新聞社、銀行サイトがやはり閲覧不能になっていた。それぞれのサービスが止まる状態は一時的なものではあったが、両国合わせて35の機関が直面したこのサービス不能事件は、両国の調査の結果、同じ何者かの意図によって引き起こされたものであることがわかった。これらすべての事態はボットに感染した大量のPCからの国際的なDDoS攻撃(Distributed Denial of Service Attack:分散型サービス妨害攻撃)によるものだったのだ。
 やがてこの一連の攻撃に動員されたのは、主に韓国の5万5000台にのぼるPCと、それらPCに潜んでいたボットに指令を下すための416台のサーバだったことが、各国の捜査機関による捜査により明らかになった。某国の諜報組織の関わりもとりざたされたものの、目的や意図は現在も不明で、攻撃の主体はわかっていない。攻撃に関連する被害は、DDoS攻撃先ばかりでなく、攻撃の踏み台とされたPCにも及んだ。ボット感染PCは攻撃後に起動不能にさせられていた。
 なお、攻撃指令を行ったサーバの中には日本国内のサーバも含まれていた。警察庁による2009年12月の発表によれば、6都県8ヵ所に分布する8台の大手通信関連企業やコンピュータ関連会社のサーバが指令役として利用されていたという。これらサーバの所有者たちは、攻撃に利用されたことに少しも気づくことがなかったようだ。
 国内ではあくまで8台のサーバが指令役として機能しただけで、国内サイトはDDoS攻撃を受けてはいなかったものの、セキュリティ面で堅牢と思われている企業のサーバが攻撃の道具に使われたり、利用者自身が気づかないままに大量のPCがボットネットに組み入れられていたりした事実は、ボットによる攻撃などがいつ何時、どんな形で開始されるかわからない不気味さを感じさせた。




1

DDOS攻撃の仕組み

 このケースは、ボット(BOT)を巧みに利用したDDoS攻撃の典型パターンといえよう。ボットとはウイルスの一種で、インターネット越しにコンピュータを遠隔操作することができる機能をもったもののことをいう。ボットという名前は、コンピュータがまるでロボットのように操られるところからつけられたものだ。特定のWebサーバめがけて大量のデータを送信してサーバを機能不全に陥らせ、業務妨害を行うのがDoS攻撃で、中でもケースファイルのように多数のコンピュータから一斉・集中的に大量の接続やデータ送信を行うことにより、サイトが正常に機能しないようにする攻撃をDDoS攻撃という。
 このケースの場合、次のような攻撃が行われたようだ。
 ボットがPCに感染すると、その一部であるW32.Mytob!gen(シマンテック社による識別名・以下同)が、そのPCにあるメールアドレスを利用して、W32.Dozerと呼ばれるマルウェアのパッケージをメールに添付して送り出す( .bat、.cmd、.exe、.pif、.scr、.zipなどの拡張子をもつ添付ファイルにする)。
 送信されたW32.Dozerが別のPCで実行されると、そのPCにTrojan.DozerとW32.Mydoom.A@mmをインストールする。Trojan.DozerはDDoS攻撃を行うためのトロイの木馬だ。W32.Mydoom.A@mmはメールアドレス収集とマルウェア添付メールの送信を行うW32.Mytob!genをPCにインストールするための道具だ。W32.Mytob!genがインストールされてしまうと、PC内のメールアドレスに対してW32.Dozerが送信されてしまう。
 この繰り返しで感染PCは次々に増えていく。それが5万5000台程度に増えた時点で、Trojan.DozerによるDDoS攻撃が一斉に行われたのがケースファイルの事例だ。

図1 ボットW32.Dozerによる攻撃のイメージ
図1 ボットW32.Dozerによる攻撃のイメージ

セキュリティ情報局にご登録頂いた方限定で「自社サーバが攻撃役に!ボット感染最新事情」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

ボット/自社サーバが攻撃役に!ボット感染最新事情」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ボット」関連情報をランダムに表示しています。

ボット」関連の製品

ディフェンスプラットフォーム(DeP) 【ハミングヘッズ】 EMOROCO(エモーショナルCRMソリューション for Dynamics CRM) 【アーティサン】 WebSAM JobCenter 【NEC】
アンチウイルス CRM 統合運用管理
APIの利用を常時監視してウイルスを検出・隔離する割込み型迎撃方式のウイルス対策ソフト。APIの利用内容でウイルスか否かを識別するため未知のウイルスも捕捉できる。 顧客の感情(心)及び、企業が新しくマーケットインするための情報を“見える化“できる、AIを搭載したCRM。 ビジネス上必須となる定型業務を自動化するジョブ管理ソフトウェア。柔軟なジョブフロー定義により、運用スケジュールに沿ったジョブの自動実行と一元管理を実現する。

ボット」関連の特集


 シスコシステムズは国内でのIoT事業強化に向けて、本格的に乗り出した。 2016年1月21日、シス…



会議の様子を録音したのに、雑音ばかりで聞き取りにくい。そんな経験はありませんか?欲しい音だけを取り出…



本田技研工業では、約10年前から対応カーナビでユーザの走行データを収集しビッグデータ分析を行っている…


ボット」関連のセミナー

第69回事例研究フォーラム 【アイエルアイ総合研究所】 締切間近 

開催日 12月9日(金)   開催地 東京都   参加費 無料

Excelをプラットフォームとしたデータベースシステム構築ユーザ事例の紹介セミナーです。Excelと『StiLL』とDBを使って実際に開発されたシステムの事例発…

スマートロボット 活用セミナー/東京 【サテライトオフィス】 締切間近 

開催日 12月15日(木)   開催地 東京都   参加費 無料

〜企業でスマートロボットを使っていくユースケースを紹介いたします。スマートロボットの現状のパフォーマンスと 開発イメージをご紹介いたします。〜【企業向けスマート…

師走でも走らない営業!ロボット活用で顧客増×売上増 【データサービス】 締切間近 

開催日 12月8日(木)   開催地 東京都   参加費 無料

当セミナーでは、このようなお悩みをお持ちの営業ご担当者、経営者の方を対象としています。=====================================…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30003465


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ