今回のテーマは、クラウドの非偏在性、すなわち「雲のようにつかみどころがない」という特性を悪用するとどうなるのかである。具体的には、ボットネットの基盤にクラウドが悪用される可能性である。
ボットネットとは、ボットと呼ばれる遠隔操作用プログラムが埋め込まれた複数のPCで構成されるネットワークのこと。攻撃者がボットネットに指令を出すことで、スパムメールなどを大量送信したり、フィッシング詐欺などに悪用したりする。ウイルスなどを通じてPCがボットに感染すると、ボットネットに強制参加させられ、知らないうちに自分のPCが迷惑メールの送信元になったり、さらなる感染拡大活動の片棒を担がされたりすることになるのだ(関連記事)。
これに対処するために、日本では総務省と経済産業省の共同プロジェクトである「サイバークリーンセンター」が設立されている。同センターとインターネット・サービス・プロバイダ(ISP)が連携して、ボットに感染してしまった一般の利用者に対して電子メールなどを通じた注意喚起を行い、対策ツールをダウンロードできる対策サイトへ誘導している。これまで延べ9万6000人への注意喚起を行い、一般公開サイトでの駆除ツールのダウンロード数は累積で115万回に上るという。
ボットネットの中心は、ボットに感染したPCに指令を発する指令コンピュータと、コマンド・アンド・コントロール(C&C)サーバーである。C&Cサーバーは、音響製品に例えるならば音声を増幅するアンプの役割を担っている。これにより、数千から大規模なものでは数百万台からなるボットネットを構成するすべてのPCに、指令を伝えることができるのだ。
逆に言えば、C&Cサーバーからの命令伝達通信を止めることができれば、被害を抑制することができるはずである。実際に、そのような取り組みもなされている。
それに対し、攻撃側もC&Cサーバーの冗長構成について余念がない。複数のC&Cサーバーに接続するようボットを設定し、万が一、あるC&Cサーバーが停止してしまったとしても、別のC&Cサーバー経由で指令を送ることによって、継続的にボットに指令を送るような仕組みを備えるようになってきている。
ここでクラウドを利用すれば、さらなる冗長性をボットネットが得ることになる。セキュリティ専門家が稼働中のC&Cサーバーを停止させるのに成功したとしても、仮想マシンを次々と起動させてしまえば、ボットネット自体は保護されてしまう。このようなことは以前から情報セキュリティ業界の一部では危惧されていたが、それが現実のものとなっている。
米Arbor Networksの報告によると、Google App EngineをC&Cサーバーとして悪用しているボットネットを発見したという。このボットネットでは、指令サーバーとの通信をHTTPで行い、感染PCのデータをパラメータに含んだ特定のURLにアクセスさせることで、さらに別のマルウエアをダウンロードさせるものであるという。
Google側の対処によりこのApp Engineは即座に停止したが、“クラウドの中のC&Cサーバー”を印象付けるには十分であった。事実、クラウドを使用しているtwitterアカウントをC&Cサーバーとして使用した別の事例も存在している。
ラック サイバーリスク総合研究所 研究センター長
