トレンドマイクロのウイルス解析チームは,最近,MSNから送信されたように装いスパム活動する(MSNスパム活動)ボットについて明らかにした。「WORM_VB.PAB」として検出されるこのボットを解析した当時,ボット自身のコマンド&コントロール(C&C)のチャネルは「アイドル」状態であったが,将来,より精巧な攻撃を仕掛けるコマンドを送信する可能性をはらんでいる。
ボットネットは今日,最も頻繁に発生し,また危険な「Webからの脅威」である。なぜなら,ボットネットが引き起こす損害は,情報漏えいやマルウエア感染から,詐欺行為など他のサイバー犯罪まで多岐にわたるからだ。ボットネットとは,ボットおよびゾンビ化した感染コンピュータで構成されるネットワークのことで,主にスパム活動やクリック詐欺などの不正活動に利用される。また,ボット攻撃の首謀者は,ボットネットのC&C機能に新しいコンポーネントを追加し,攻撃を変化させることも可能である。
「WORM_VB.PAB」が次の「危険なボット」になるのも間近?
「WORM_VB.PAB」は,以下のWebページに組み込まれており,「Windows Live メッセンジャー」のインストーラを装う。
・http://<省略>s-live-msn.serveftp.com/Windows_Live_9.0_beta.ex
このワームは,新「MSNメッセンジャー」のSMS用ベータ版を紹介するスパム・メールを介してコンピュータに侵入し,「このベータ版を使うと,Windows Liveユーザーはモバイル機器を使う友人たちとチャットができる」とユーザーを誘導した。問題のスパム・メールはスペイン語で書かれており,このワームによる攻撃のターゲットはスペイン語圏であると考えられる。
ワームは,実行されると,感染コンピュータに自身のコピーを作成し,自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加する。
ワームはまた,以下のレジストリ値を追加し,偽インストーラ「Windows_Live_9.0_beta.exe」が感染コンピュータのファイアウォール機能に阻止されることなく実行できるようにする。
「WORM_VB.PAB」は,リムーバブル・ドライブ(USB)やP2Pネットワーク(「Morpheus」,「Limewire」,「Kazaa」,「Bearshare」など)を経由して感染活動を展開する。この結果,より多くのユーザーを感染させることが可能となる。そしてワームは,感染コンピュータからC&Cサーバーに以下の詳細情報を報告する。
・サーバー:<省略>s.rvsanmiguel.com
・サーバーIP:<省略>.<省略>.110.141
・ポート:6767
・サーバー・キー:m4s3rvp4ssz
・チャネル:#s3k4nt
・チャネル・キー:m4n0sp4z
ワームは自身のコード「msn.msgemail」を使って,主要任務であるMSNスパム活動を実行し,さらなるコンピュータへの感染拡大を狙う。詳細な解析の結果,ワームはIRC型C&Cチャネルに接続して指示を待つ典型的なボットである可能性が明らかになった。しかし現段階では,このボットは単にMSNスパム活動を実行しているだけで,C&C機能の活動は見られない。
ボット「WORM_VB.PAB」は,現段階では「KOOBFACE」や「ILOMO」と比べてそれほど危険ではない。しかしボットの種を蒔き,感染ユーザーを拡大させ,ゾンビ化PCを量産する可能性がある。つまり「WORM_VB.PAB」は,「KOOBFACE」や「ILOMO」と同様に,近い将来,より精巧な攻撃を仕掛ける脅威をはらんでいるのだ。
進化するボットネット
他のテクノロジーと同様に,ボットネットも最新の脅威傾向に遅れないように日々変化し続けている。過去には,ボットネットは特に不正で危険なものだと認識されない時期があった。IRCネットワークを管理するために利用されていたからだ。
しかしながら2002年から2003年には,「SDBOT」および「RBOT」の亜種が複数登場した。2005年から2006年にかけて,これらのボットネットはコンピュータ利用者全体を大混乱に巻き込んだ。大量のゾンビ化した感染コンピュータを使って,標的とするWebサイトを一時的にダウンさせる分散型サービス拒否(DDoS)攻撃を仕掛けたのだ。また,感染コンピュータ上に不愉快なポップアップ広告を表示するプログラムであるアドウエアも蔓延させた。
2005年,マイクロソフトは,セキュリティアドバイザリ「MS05-039」を公開した。多くの自社製品ユーザーに被害を及ぼしたボット攻撃に対応するためだ。これにより,製品開発者が製品の脆弱性に対するパッチを公開する前に,サイバー犯罪者がその脆弱性を利用して攻撃をしかける「脆弱性利用型攻撃」が認知されるようになった。サイバー犯罪者は,通常,エクスプロイト・コードをコンパイルし,ボットに組み込み圧縮し,標的となった感染コンピュータにこのボットを配備するのだ。
