• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

1週間で学ぶネットワークの要点

[NETWORK調査隊]「ボットネット」の正体を探る -- No.2

命令一発で大量の“ゾンビ”が動く
従来のウイルス対策が効かない

半沢 智=日経NETWORK 2006/01/11 日経NETWORK
出典:日経NETWORK2005年11月号98ページより
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧
図3 ボットの定義<BR>ボットは,クラッカからの命令を受けてその命令に従って感染や攻撃をするプログラム。ワームとトロイの木馬の機能を併せ持っている。
図3 ボットの定義<BR>ボットは,クラッカからの命令を受けてその命令に従って感染や攻撃をするプログラム。ワームとトロイの木馬の機能を併せ持っている。
[画像のクリックで拡大表示]
図4 ボットが感染を広げるしくみ&lt;BR&gt;命令を受け取ると感染活動を開始。ほかのパソコンへの侵入に成功すると,ボットの本体プログラムをダウンロードし,自身をIRCサーバーに登録する。こうしてボットネットが出来上がる。
図4 ボットが感染を広げるしくみ<BR>命令を受け取ると感染活動を開始。ほかのパソコンへの侵入に成功すると,ボットの本体プログラムをダウンロードし,自身をIRCサーバーに登録する。こうしてボットネットが出来上がる。
[画像のクリックで拡大表示]

クラッカの指示通りに動く

 実態調査によって,ボットの動作も明らかになったという。詳細は,この実態調査でボットの捕獲と動作検証を担当したラックの新井悠(あらいゆう)セキュリティプランニングサービス部長が語ってくれた。

 「おとりのサーバーで捕獲したボットのプログラムを解析してみた結果,どのボットもワームとトロイの木馬を合わせたような動きをすることが確認できました」(図3[拡大表示])。

 ワームは,ネットワークを介してパソコンに侵入し,自分自身を増やす。これはボットも同じである。ボットもパソコンのセキュリティ・ホールを突くなどして,ネットワーク経由で仲間を増やしていく。

 ボットがワームと違うのは,クラッカからの命令を受け,その命令に従って動くところである。そのため,命令をやりとりするための“裏口”を作る。この機能は,トロイの木馬の多くが持っている機能である。外部と通信するための裏口を用意して,コンピュータの情報を外部に送出したり,外部からパソコンを操作可能にしたりする。

 ボットは,ワームとトロイの木馬の“悪質な部分”を兼ね備えているわけだ。

セキュリティの穴を突いてボット化

 ほかのパソコンへの感染も,クラッカからの命令によって実行される。正常なパソコンがボット化するまでの流れは以下のようになる。

 クラッカは,ボットとの情報のやりとりにIRCと呼ばれるチャットのしくみを利用する。具体的には,クラッカはIRCサーバーに感染命令を送る(図4[拡大表示]の(1))。するとこの命令がIRCサーバーによってボットに届けられ((2)),ボットが感染活動を開始する((3))。ランダムなIPアドレスや,自分のIPアドレスに近いアドレスあてに感染パケットを送信するわけだ。感染パケットには,パソコンに侵入するためのコードが書き込まれており,セキュリティ・ホール*を突いて実行されるように仕組まれている((4))。ここまでが感染の準備である。

 感染パケットを受け取ったパソコンがボットの侵入プログラムを実行してしまうと,そのパソコンはボットの本体プログラムをダウンロードする*((5))。ダウンロードが終わり,ボットの本体プログラムが実行されると,パソコンがボットに感染する((6))。

 そしてボットの本体プログラムは,IRCサーバーにアクセスする。これでボット化したパソコンが,ボットネットに加わる。以降,このボットはIRCサーバー経由でクラッカからの命令を受け取るようになる((7))。

 「クラッカは,ボットの数を増やしたいときだけ,特定のボットに感染命令を送ります。こうして,ユーザーに感染を悟られないようにしながらボットの数を増やしていくわけです」(新井部長)。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る