クラッカの指示通りに動く
実態調査によって,ボットの動作も明らかになったという。詳細は,この実態調査でボットの捕獲と動作検証を担当したラックの新井悠(あらいゆう)セキュリティプランニングサービス部長が語ってくれた。
「おとりのサーバーで捕獲したボットのプログラムを解析してみた結果,どのボットもワームとトロイの木馬を合わせたような動きをすることが確認できました」(図3[拡大表示])。
ワームは,ネットワークを介してパソコンに侵入し,自分自身を増やす。これはボットも同じである。ボットもパソコンのセキュリティ・ホールを突くなどして,ネットワーク経由で仲間を増やしていく。
ボットがワームと違うのは,クラッカからの命令を受け,その命令に従って動くところである。そのため,命令をやりとりするための“裏口”を作る。この機能は,トロイの木馬の多くが持っている機能である。外部と通信するための裏口を用意して,コンピュータの情報を外部に送出したり,外部からパソコンを操作可能にしたりする。
ボットは,ワームとトロイの木馬の“悪質な部分”を兼ね備えているわけだ。
セキュリティの穴を突いてボット化
ほかのパソコンへの感染も,クラッカからの命令によって実行される。正常なパソコンがボット化するまでの流れは以下のようになる。
クラッカは,ボットとの情報のやりとりにIRCと呼ばれるチャットのしくみを利用する。具体的には,クラッカはIRCサーバーに感染命令を送る(図4[拡大表示]の(1))。するとこの命令がIRCサーバーによってボットに届けられ((2)),ボットが感染活動を開始する((3))。ランダムなIPアドレスや,自分のIPアドレスに近いアドレスあてに感染パケットを送信するわけだ。感染パケットには,パソコンに侵入するためのコードが書き込まれており,セキュリティ・ホール*を突いて実行されるように仕組まれている((4))。ここまでが感染の準備である。
感染パケットを受け取ったパソコンがボットの侵入プログラムを実行してしまうと,そのパソコンはボットの本体プログラムをダウンロードする*((5))。ダウンロードが終わり,ボットの本体プログラムが実行されると,パソコンがボットに感染する((6))。
そしてボットの本体プログラムは,IRCサーバーにアクセスする。これでボット化したパソコンが,ボットネットに加わる。以降,このボットはIRCサーバー経由でクラッカからの命令を受け取るようになる((7))。
「クラッカは,ボットの数を増やしたいときだけ,特定のボットに感染命令を送ります。こうして,ユーザーに感染を悟られないようにしながらボットの数を増やしていくわけです」(新井部長)。
| < | 前回へ | 目次 | 次回へ | > |
