パソコンにひそかに忍び込むボット。それを仕込んだ攻撃者の目的は、大きく2つある。感染パソコンから情報を抜き出すことと、第三者へ攻撃を仕掛けるための踏み台(経由地)にすることだ。これ以外に、ユーザーの意図しないプログラムを感染パソコンで勝手に動かすことで、ユーザーを巧みにわなに誘い込むことを考えている可能性もある。

図1●指令に従ってさまざまな悪事を働くボットを誌上体験
図1●指令に従ってさまざまな悪事を働くボットを誌上体験
本誌編集部で用意したネットワーク環境で、ボットの感染から攻撃指令までを試して動作内容を確認した。ボットの被害としては、情報漏えいと踏み台が多いが、ほかにも何らかの被害をもたらす危険性がある
[画像のクリックで拡大表示]

 本誌では、読者のみなさんに代わり、Telecom-ISAC Japanと、そこに参加しているラックの監修の下、本誌編集部内にボットネットを構築し、ボットの攻撃を実際に試してみた。

 攻撃者は、ボットに感染したパソコンで、ありとあらゆることができる。その中から代表的なボットの機能を7種ピックアップし、攻撃内容を調べた。その結果を基に、読者のみなさんに、あたかも被害者になったつもりで、ボットの恐怖を体験していただこう。

ボットを編集部で“飼育”して生態を観察

 Telecom-ISAC Japanに参加している村上純一氏(ラックSNS事業本部テクニカルコンサルティングサービス部)、松木隆宏氏(同)の協力を得て、本誌編集部内でボットの動作を確認するための実験環境を構築した。実験の概要は図の通り。

【実験の概要】
【実験の概要】
今回、記事を構成するためにTelecom-ISAC Japanに参加しているラックの協力を得て、インターネットなどに害を及ぼさないよう配慮した状態で実験した
[画像のクリックで拡大表示]

 利用したのは、「Rxbot」というボットである。このボットのソースコードに手を加えて、ネットワーク経由で他のパソコンへの感染を広げる機能などを無効化して実験をした。

 パソコンとサーバーにグローバルIPアドレスを割り当て、インターネットで通信できる環境を作った。そのうちの1台のパソコンをボットに感染させ、それを中継サーバーを通じ、操作用パソコンから操作する。

 ボットの操作には、インターネットで広く利用されているチャットシステム「IRC(インターネットリレーチャット)」を使う。感染したパソコンはIRCサーバー(中継サーバー)のチャットルームに接続して指令を待つ。これら、チャットルームに接続しているボット群に対し、操作用パソコンからチャットを使って攻撃者は指令を出す。

 記事に使った情報漏えいや踏み台の実験のほか、感染パソコンのCDドライブを開閉させる、感染パソコンにポップアップメッセージを表示させる、などの機能も確認できた。

(1)キー入力が筒抜け

 山田さんは、ダイビングが大好きで、来週から沖縄の海へ潜りに行く計画を立てている。ダイビング用の商品は、日ごろからひいきにしているネットショップでもっぱら購入している。その日も、ネットショップで新しいフィンを注文した。

 早速、山田さんは購入した商品の代金をインターネットバンキングで業者に振り込み、その後、業者に「25日に振り込みましたので、確認をお願いします」とWebメールで連絡した。

 実はこの間、攻撃者は山田さんのパソコンの操作状況をひそかに見ていたのだ(図2)。パソコンを使う以上、キーボードを使うことは避けて通れない。そのキーボードで打ち込んだ内容が、ボットを通じてすべて攻撃者に筒抜けになってしまう。インターネットバンキングやWebメールだけでなく、メールに書いている内容、閲覧するWebサイトの情報など、パソコンでのキーボード入力情報が、すべて知られてしまうのだ。「keylog on」という、たった一つの指令をボットに送るだけで、次から次へとキー入力情報が手に入る。これらの情報を基に、攻撃者は不正アクセスを行い、金銭をかすめ取ろうとする。

図2●インターネットバンキングなどのIDとパスワードが筒抜け
図2●インターネットバンキングなどのIDとパスワードが筒抜け
ログイン用のIDとパスワードなどのキーボードの入力情報がすべて筒抜けになる。なお登場するサイトは、あくまで実験において、キーロガーの機能を確認するために利用しただけである。IDとパスワードも架空のもの
[画像のクリックで拡大表示]