XSOX.NAME and Proxy Bots」より
October 22,2007 Posted by Gunter Ollmann

 Webプロキシは二つの特異な顔を持っている。企業環境においてはWebへのアクセスをコントロールし、一定の脅威レベルから社内ネットワークを保護することができる。また、外部ネットワーク、つまりインターネット側では、WebプロキシはWebサイトの閲覧を匿名化する手段としての利用が増えている。

 実際にWebプロキシについて検索してみると、無料のプロキシ・ホストを書き連ねたリストがすぐに多数見つかる(Googleの検索結果では170万件)。これらの大部分は合法的、つまり教育機関や、匿名での閲覧を提供する(半商業的な)組織が運営するものだ。たいていの人々は、これで十分事足りる。ある程度の匿名性を保ちながらインターネットを閲覧し、国ごとに設けられたコンテンツ規制をくぐり抜けることができる(例えば、米国から英国に置かれているプロキシを利用してBBCの高解像度のニュースを視聴したり、サウジ・アラビアから米国のiTunes Store用アカウントにアクセスしたりできる)。

攻撃プロキシ

 これらのプロキシは、大部分が上記で述べたような目的で使用されるが、攻撃を難読化する便利なものへと変貌することもある。例えばブルート・フォース、クロスサイト・スクリプティング、SQLインジェクションなどのWeb攻撃はすべてWebブラウザを介して発生することを考えると、Webプロキシは攻撃に対してさらに一定レベルの匿名性を提供することになる。そのうえ、プロキシを複数経由する多段プロキシの自動的な切り替え、または巡回により、一般的に検出されるレベルから比較的簡単に隠れられる。実際のところこれらの特性から、外部プロキシは合法的な侵入テスト時に、保護しきい値が制限を超えたときにクライアントが送り元IPアドレスを自動的にブロックするかどうか確認する際に頻繁に用いられる。

 Webプロキシは我々が「完全に忘れてしまいたい」セキュリティの秘密の一つだ。その理由は、これらのWebプロキシが悩ましいものであるだけでなく、最終的なインシデント・レスポンスを阻止することが多いからだ。

 このようなWebプロキシの「実用性」は、悪者の目からうまく隠せていない。実際、ハッカーあるいはカーダー(クレジットカード情報を売買する犯罪組織)の間で人気の高いチャットのチャンネルやフォーラムでは、優れたプロキシ・サービス、そしてプロキシ・エージェント間の巡回を大幅に簡易化するツールについて数多くの情報交換がされている。

 さらに、インターネットの闇の世界でその他の通信領域を摸倣する際、不正利用を目的としたプロキシ・サービスを専門に手がけるプロバイダがいくつか存在するのも事実だ。例えば、AnyProxy.Net(および密接にリンクしていると思われるその他多数のWebサイト)では、世界各地のHTTP/HTTPS/FTPプロキシならびにSOCKS4/5プロキシを1日単位(これはプロキシ1台当たりの寿命が最大24時間のため)で提供している。料金は電子マネーの「WebMoney」「Egold」で支払える。

図1 AnyProxy.Netのプロキシ利用料金
図1 AnyProxy.Netのプロキシ利用料金

 最近登場したプロバイダのうち最も興味深いものが、(2007年8月に最初の「広告」文句が登場した)XSOXである。

Webサイト「XSOX.name」

 XSOXのWebサイトにはソリューションとサービスの具体的な内容が記載されており、出し惜しみしている様子は全くない。ただし、筆者がこれまで目にしたプロキシ・サービスと異なり、XSOXのサービスは高度かつ大胆不敵で、新たなレベルに達している。

図2 XSOXの仕組み
図2 XSOXの仕組み

 例えば、XSOXのダウンロード可能なプロキシ・クライアントは、筆者がこれまで目にしたものの中で最も進んだサービスだ。このプロキシ・クライアントは、不法行為の隠ぺいに必要となるであろう機能を多数搭載している。ボット・エージェントを利用したプロキシ・サービスも包み隠さず認めている。読者は既に分かっていると思うが、彼らは自らのボットネット内にあるボットを攻撃プロキシにリースしていると思われる。

 上述した通り、このWebサイトではXSOXのクライアントとサービスを微に入り細にわたるまで説明している。すべてロシア語によるものだが、ツールとサービスに関する興味深い点をいくつか以下に記す。

・ボット・プロキシの連結、あるいはプロキシの最終出口の変更がその場で簡単に行える
・HTTP圧縮でデータ転送速度を高速化
・ボットを国、速度、稼働時間などで検索/フィルタリングできる、高度なGUIを搭載
・帯域幅1Gバイトのスーパーノード・サーバーを備えており、SYNフラッドおよびUDPフラッドからの保護と100%の稼働時間を保証
・プロキシ・クライアントは、トラフィックをプロキシとして代理するボットの自己破壊を行う機能DELBOTなども搭載する。これにより、ボットのホスト上にあるレジストリ・レコード、デバイス・ドライバ、ファイルなどが破壊される
・料金は月額50ドル(「利用制限なし」という)または週額15ドル

図3 XSOXクライアントの画面
図3 XSOXクライアントの画面

 全体的に見て、XSOXはツール、サービスいずれも興味深いものだが、新たな攻撃を調査したり、犯罪者の特定を行う人々にとっては、よい前兆ではない。
 ボットネットの攻撃者(ハーダー)は、身元詐称やスパム・リレーのサービスを拡充する機会を狙っており、これで非常に優れた匿名プロキシ・サービスが持ち駒に加わったことになる。


Copyrights (C) 2007 IBM, Corp. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,日本IBMの許可を得て,米国のセキュリティ・ラボであるIBM Internet Security Systems X-Forceの研究員が執筆するブログIBM Internet Security Systems Frequency-X Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,XSOX.NAME and Proxy Botsでお読みいただけます。