ボットネット関連のニュースが増加傾向にある中で、ルーターやモデムを狙う旧来のボットネットに関するニュースは、しばらく耳にすることはなかった。しかし残念なことに、それもつかの間のことだったようで、最近になってボットネット「Chuck Norris」という形でこの旧来のボットネットが再来した。Chuck Norrisという呼び名は、ソースコード内に含まれていた「in nome di Chuck Norris」(Chuck Norrisの名の下に)というイタリア語のコメントに由来している。Chuck Norrisによる最近の感染拡大は、この種のボットネットが依然として存在しており、これからもさらに存続していくという、サイバー犯罪者からのメッセージのようにも思われる。
ボットネット「Chuck Norris」の登場
ボットネット関連の不正プログラムの中でも、特に「ZLOB」や「RBOT」、「QHOST」といったファミリは、ネットワークの周辺機器やその設定を狙う不正プログラムとして有名である。とりわけ、ルーターやDSLモデムのぜい弱性を利用する感染活動や、巧妙にDNS(Domain Name System)の設定を変更することでもよく知られている。これらの不正プログラムは、例えばボットネット「Zeus」関連の不正プログラムのように、ユーザーのインターネット利用状況を巧みに悪用するような洗練さはない。ただし一方で、少なくとも50万台という非常に多くのコンピュータを感染させているのも事実である。
今日に至るまでこうした旧来のボットネットが存在し、また今後もサイバー犯罪者たちに利用され続ける理由は、手口が巧妙だからというわけではない。むしろネットワーク機器が置かれた状況そのものに起因している。つまり、ルータ―などの周辺機器に関しては、修正パッチが公開されていても、それが定期的に更新されていないという理由である。そして今回、ボットネット「Chuck Norris」が確認されたことで、この種の旧来型ボットネットがいまだ健在であることが証明された。
ぜい弱性を持つルーターやDSLモデムが対象に
旧来のボットネットによるルーターやDSLモデムのぜい弱性利用という手口は、ニュースとして目新しいものではない。旧来のボットネット同様、Chuck Norrisも、これらのぜい弱性に関連するネットワーク管理上の盲点を利用する。「ルーターの管理情報の定期的な更新を怠る」ということも一つのぜい弱性と呼べるだろう。「パスワードのリスト」を使ってパスワード保護を突破すれば簡単に管理情報を改ざんできる。サイバー犯罪者は、こうした盲点を狙って攻撃を仕掛けてくるのである。しかしユーザーは多くの場合、このような方法でルーターが攻撃対象とされることに気づいていない。また、ルーターが有線もしくは無線で接続している際、そのルーターのセキュリティ設定ですら既定値から変更可能であることに気付いていない場合が多い。
今回の場合、標的となるルーターやモデムが感染すると、「WORM_IRCBOT.ABJ」として検出されるワームがその感染を拡大させる。このワームは、ネットワーク共有フォルダを介して感染活動を行い、効果的に他のコンピュータへと感染していく。その際、ワームは、いわゆる「辞書攻撃」によりネットワーク共有フォルダにアクセスを試みる。「辞書攻撃」とは、前もって用意されたユーザ名およびパスワードのリストからユーザ名およびパスワードの組み合わせを次々と試みてアクセスしようとする手口のことである。また、マイクロソフトのぜい弱性「MS03-039」を利用した感染活動も行う。このぜい弱性は、特定のOSに存在し、悪用されると、RPCSS サービスのバッファ オーバーランによりコードが実行されるという。こうして、ネットワークに接続している感染コンピュータから、同じネットワークまたはルーターに接続している他のコンピュータへと感染が広がることとなる。
「WORM_IRCBOT」:ボットネットの共犯者
「IRCBOT」ファミリは、IRCアプリケーションを利用してバックドア活動をするワームとしても知られている。つまり、不正リモート・ユーザーがIRCを介して感染コンピュータ上でコマンドを実行するというバックドア機能を備えた不正プログラムファミリである。今回の「WORM_IRCBOT.ABJ」も例外ではなく、ぜい弱性のあるネットワークを介して素早く自身を拡散させる機能に加え、バックドア機能も備えている。こうして、このワームを操る攻撃者も、感染コンピュータ上でコマンドをリモートで実行することが可能となるのである。特にこのワームの場合、攻撃者は、感染コンピュータ上で他の不正プログラムをダウンロードして実行することが可能であり、特定のWebサイトに対して、感染コンピュータ上からPING攻撃やSYN攻撃、UDP攻撃の方法でサービス拒否(DoS)攻撃を行うことも可能である。
さらにこのワームは、不正リモート・ユーザーからの指示を受け、ユーザーのフルネームや口座情報といった個人情報を収集する機能を備えている。またこのワームは、ユーザーのオンライン・バンキング・サイトや電子商取引サイト、ファイル共有サイトへのアクセスを監視することにより、キー入力操作情報を収集する機能も備えている。こうして収集された情報は、サイバー犯罪者により金銭目的で利用される可能性がある。さらには、「Counter Strike」や「Half Life」のようなオンラインゲーム、「Microsoft Windows」や「Google Chrome」のようなアプリケーションに関連するレジストリを確認することにより、それらのオンラインゲームやアプリケーションに関連したCDキーを収集する機能さえも備えている。
