セキュリティ組織の米SANS Instituteは現地時間11月16日,TCP 80番ポートを使って通信するボットが増えているとして注意を呼びかけた。ファイアウオールなどを回避するために,IRC(Internet Relay Chat)を使うにもかかわらず,80番ポートを使ってWebアクセスなどに見せかける。
クライアントのパソコンに“感染”したボットは,攻撃者の命令を受け取るために,司令塔となるマシン――C&C(Command&Control)サーバー――にアクセスする。ボットとC&Cサーバー間の通信にはIRCが使われることが多い。この場合,C&Cサーバーの実体はIRCサーバーになる。
しかし,企業などのファイアウオールでは,業務で利用するプロトコル以外はふさがれていることがほとんど。そこで,開けられていることが多い80番ポート(HTTPが使用するポート)を使って通信しようとするケースが増えているという。
とはいえ,80番ポートを使っていても通信の“中身”はIRCなので,HTTPと区別することはそれほど難しくはないという。例えば,HTTPの通信(Webアクセス)はプロキシ(アプリケーション・ゲートウエイ)を経由させるようにすれば,IRCのトラフィックをフィルタリングできる。
また,企業/組織内で知らないうちに稼働しているC&Cサーバーを見つけるには,「80番ポートでリクエストを待ち受けているIRCサーバー」を探せばよいという。SANSでは,スキャン・ツール「nmap」を使ってそのようなサーバーを見つける手順を紹介している。そのほか,ボットとC&Cサーバー間の通信を検出するには,「Snort」のようなIDS(侵入検知システム)も有用であるという。
ただ,今回の情報には記載されていないが,現在ではHTTPを使うボット/C&Cサーバーも存在するので,管理者は注意が必要。
