JPCERTコーディネーションセンター(JPCERT/CC)とTelecom-ISAC Japanは2006年4月26日、セキュリティ会議「RSA Conference Japan 2006」において、「ボットネットの過去と現状」と題したセッションを開催。ボットネットの現状を報告するとともに、実験環境下でボットネットを構築し、その挙動を調査した結果を報告した。
ボットとは不正プログラムの一種。ネットワーク経由で受け取った外部からの命令に従って、感染コンピューターを操るプログラムを指す。感染経路はウイルスやワームと似ており、OSの脆弱性を攻撃したり、ユーザーがメールの添付ファイルを開いたりすることによって感染する。
ボットに感染したコンピューターは、攻撃者が遠隔操作用に準備した、中継用のコンピューターに接続する。攻撃者はIRC(Internet Relay Chat)や独自プロトコルなどを利用して、感染したコンピューターに指令を出して操作できる。
遠隔操作が可能な多数のボット感染コンピューターのネットワークを「ボットネット」と呼び、「数百から数万台の規模で構成されている」(JPCERT/CC 早期警戒グループの中谷 昌幸情報セキュリティアナリスト)。
ボットネットは、迷惑メールや分散型サービス不能攻撃(DDoS攻撃)の温床として数年前から問題になっている。そこで、通信事業者などを中心に形成されたセキュリティ対策団体Telecom-ISAC Japanは、JPCERT/CCなどと共同で2005年4月に国内ボットネットの実態調査を実施した(関連記事)。
ここでは国内インターネットユーザーの40~50人に1人がボットに感染している疑いがあることや、ボットに占領されている帯域は日本だけで数Gbpsに達することなどが明らかになった。
ボットを“飼育”して能力を検証
今回は調査第二弾ということで、実際にボットのソースコードを入手して、実験環境下で自作のボットネットを構築(図1)。ボットを操る人間(Herder、ハーダーと呼ばれる)の立場から、ボットネットの挙動や攻撃能力を調査したという。まずは、検索エンジンなどを活用して、インターネット上から「Rxbot」という種類のボットのソースコードを入手(図2)。接続するIRCサーバーのIPアドレスなど、各種のパラメータを設定後にコンパイルし、ボットプログラムを作成する。
次にHerderとしてIRCサーバーに接続(図3)。さらに、感染を拡大させるための源となる“種ボット”を1台のコンピューターに仕込む(図4)。すると、“種ボット”はネットワーク上の近接するIPアドレスをさらって、感染活動を開始する(図5)。
“種ボット”から感染させられたコンピューター群は、指定されたWebサーバーに接続し、ボット本体のプログラムをダウンロード。その後、多数の感染コンピューターがIRCサーバーに接続して、ボットネットが完成する(図6)。
こうしたボットネット構成のための一連の作業は、「高度な技術がなくとも、スクリプトキディと呼ばれるレベルで十分。C++のプログラムが読めれば作成できるのではないか」(Telecom-ISAC Japan企画調整部の小山 覚副部長)と言う。
さらに今回の調査では、迷惑メール送信やDDoS攻撃について、実際にボットネットの攻撃能力を検証した。
迷惑メールの送信に関しては、「昨年は、指令を受けたボット感染コンピューターがメールを出しているのかと思ったが、実は迷惑メール送信業者のメールをリダイレクトしているということが分かった」(小山氏)。
まず、迷惑メール業者がTCPのランダムなポートを利用して、感染コンピューターにメールを送信。それを感染コンピューターが、TCPの25番ポートを使ってプロバイダーのメールサーバーに送る(図7)。この方法を使えば、最近プロバイダーが迷惑メール対策として導入している「ポート25ブロッキング(Outbound Port25 Blocking)」(関連記事)を回避できる。
しかも、最近の迷惑メール業者は「1台のボット感染コンピューターから1回に2通ずつ送信したり、10通送ったら別のボットに移って送信したりと、ISPの流量制限にひっかからないようにする」(小山氏)と、かなり巧妙だ。
DDoS攻撃に関してはリダイレクトなどはせず、HerderがIRCサーバー経由で命令を出し、それに従ってボット感染コンピューターがターゲットに攻撃をかける。2005年末には日本に指令サーバーがある大規模なボットネットが、海外のISPに攻撃を仕掛けた例もあるという。
Winnyよりも深刻な被害を引き起こす
ボットはキーロガーなどの機能を持っており、感染したコンピューター内の情報を収集する(図8)。各種のコマンドを使って、システムやネットワークの設定、パスワード、スクリーンショットなどを取得可能だ。コンピューター内の任意のディレクトリをWebに公開することもできる(図9)。ボットネットを継続的に運用するための機能も備えている。例えば、Herderとボットネットを中継するIRCサーバーが使えなくなると、別のIRCサーバーに接続し直して動作を続ける(図10)。ボット感染コンピューターのうち、回線環境が良好で高速に通信できる1台をIRCサーバーに昇格させるような仕組みを採ることもあるという。
「ボットネットは良くできたシステム。感染しても、コンピューターの情報が公開されても分からない点ではWinnyより深刻かもしれない」(小山氏)。
ボットは非常に亜種が多く、ウイルス対策ソフトのパターンファイルが間に合わないケースがある。さらに、感染すると自らの存在を隠す機能を備えているものが多いため、通常のウイルスに比べて駆除するのが非常に難しい。
調査過程では、ボットネットの効果的な駆除方法がないか検証したが、「残念ながら特効薬はない」(小山氏)。脆弱なパソコン、サーバーの存在を減らし、インターネットのシステムとしての脆弱性を地道につぶしてゆくしかないという。
