感染すると攻撃者からインターネット経由で遠隔操作される恐れのある「バックドア型不正プログラム」、いわゆる遠隔操作ウイルスに対する関心が高まっている。このタイプのウイルスを犯行に利用した一連の「遠隔操作ウイルス事件」は記憶に新しいだろう。警察がPCの所有者4人を誤認逮捕し、そのことが2012年10月ごろテレビや新聞などでも大きく報道された。
その事件は2012年に起こったものだが、実はバックドア型不正プログラムは最近登場したわけではない。10年以上も前から存在する。また、2011年夏ごろから大きく報道されるようになった標的型攻撃でも、バックドア型不正プログラムが使われている。標的型攻撃では、攻撃者は主にメールを使って標的のPCをバックドア型不正プログラムに感染させ、そのPCを起点に組織内のさまざまなサーバーのアクセス権限を取得し、情報を窃取していく。
4割の標的型攻撃にBKDR_POISONが使われた
2012年上半期に発生した標的型攻撃50件について調べたところ、その約4割で「BKDR_POISON(ポイズン)」「BKDR_DARKMOON(ダークムーン)」というバックドア型不正プログラムが使われていた(図1)。BKDR_POISONおよびBKDR_DARKMOONは、いずれもインターネット上で無償公開されている同一のRAT(Remote Administration Tool)で作られたものである(二つのバックドア型不正プログラムはほぼ同じなので、両者を合わせて「BKDR_POISON」と表記する)。
BKDR_POISONに感染したPCは、「C&C(Command & Control)サーバー」と呼ぶプログラムを使って遠隔操作されてしまう。BKDR_POISONがサーバー側プログラム、C&Cサーバーがクライアント側プログラムとして動作する(図2)。
