平原伸昭/トレンドマイクロ スレットモニタリングセンター

 セキュリティ対策の基本の一つに,ファイアウォールに余計な“穴”を開けないというものがある。それでも,WebアクセスのプロトコルであるHTTPが使う80番や8080番,SSLで使用する443番などは,ふさぐことのできないポートだろう。しかし最近は,この80番などを使ったWeb経由の攻撃が後を絶たない。開けているのが80番などの基本的なポートだけでも,安心とは言えないのだ。

ボットを制御するIRCがWebのフリをする

 最近,多くのパソコンに感染が広がり,セキュリティ上の大きな脅威となっているものにボットがある。ボットとは,「ロボット(Robot)」から派生した言葉で,感染パソコンをロボットのようにリモート・コントロールする不正プログラム(ウイルス)の総称である。また,ボットが構成するネットワークの総称を,ボットネットと呼ぶ。ボットネットは,ハーダーと呼ばれる悪意を持った第三者の指示により,DDoS攻撃やスパム・メールの送信といった様々な活動を行う。亜種によって違いはあるが,ボットは主に以下のような機能を持つ。

  • リモート・コマンドの受信
  • TCP/UDP/PING/ICMP/SYNのDoS攻撃
  • スパム・メール送信中継サーバー(TCPプロキシ)
  • 自己保身機能
    • 自身のアップデート
    • 他のボットの削除(捕食機能)
    • 動作中のプロセスの表示,強制終了
  • 情報収集機能
    • システム情報の収集
    • キーロガー
    • クリップボード・データの収集
    • パケット監視
    • ゲームのシリアルキーの収集

 このリモート・コマンドの通信を行うサーバーはC&C(Command and Control)またはC&Cサーバー(Command and Control Server)と呼ばれ,リモート・コマンドの受信にはチャット・プログラムなどで使用されているIRC(Internet Relay Chat)プロトコルが使用される。一般にIRCプロトコルは,ポート番号6667を使用する。ところが最近は,ボットの通信に80や8080といったポート番号が使われるケースが数多く観測されている。

 表1は,トレンドマイクロのモニタリング・サービスにおいて実際に観測されたポート番号8080を使ったIRCの通信ログである。このように,通信の中身はIRCプロトコルでありながら,通常のWebアクセスを装っていることも少なくない。さらに最近では,HTTPやHTTPSといったプロトコルを使って,C&Cサーバーと通信するボットの存在も増えている。

表1●ポート番号8080を使ったIRCの通信ログの例
ログ時刻 プロトコル 送信元
IPアドレス
送信元
ポート
番号
あて先
IPアドレス
あて先
ポート
番号
ルール名称
2007/7/17 20:14:23 IRC X.X.X.X 8080 X.X.X.X 3640 IRC protocol uses non-standard port
2007/7/21 19:34:45 IRC X.X.X.X 8080 X.X.X.X 4405 IRC protocol uses non-standard port
2007/8/3 19:42:32 IRC X.X.X.X 8080 X.X.X.X 1248 IRC protocol uses non-standard port

Webを介して“進化”するファイル感染型ウイルス

 ファイル感染型ウイルスは,コンピュータ・ウイルス黎明期に最も流行した脅威である。それが2006年初めから再び発見されだし,2007年も引き続き増加傾向にある。最近のファイル感染型ウイルスの特徴は,Webを経由して他の不正プログラムをダウンロードしたり,自分自身をアップデートしていく点にある。

 従来のファイル感染型ウイルスは,ファイルの改変などの破壊的な動作を行うが,ワームのように自身での感染能力は備えてはいなかった。しかしながら,再びファイル感染型ウイルスが注目されるきっかけとなった,「LOOKED」(ルックド)や「FUJACKS」(フジャックス,関連記事)といった感染型ウイルスは,従来のファイル感染機能だけではなく,ワーム機能,バックドア機能,ダウンロード機能などの複数の機能を兼ね備えている。

 2006年1月初めに発見され,2006年9月から年末にかけて日本を含むアジア太平洋地域でも多数の感染被害があったLOOKEDの一種は,オンラインゲーム「Lineage II」および「World of Warcraft」などに関連したログイン情報の収集を行うために,他の不正プログラムをWeb経由でダウンロードする。

 一方,2006年後半に発見されたFUJACKSの一種は,特定のWebサイトからテキスト・ファイルのダウンロードを行うという特徴を持つ。このテキスト・ファイルには,不正なファイルをダウンロードするためのWebサイト一覧が記述されている。このWebサイト一覧には自身のアップデート・モジュールが存在するWebサイトも記述されており,感染した不正プログラムはこの一覧を参照することで,Webを経由して自在に自身をアップデートするのである。