• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース解説

ボットネット“潜入捜査”で判明、1台のPCから毎月25万通のウイルスメール

勝村 幸博=日経NETWORK 2017/04/13 日経NETWORK

 「ボットネット」を遠隔操作してウイルスメールをばらまくのは、攻撃者の常とう手段として知られている。セキュリティ会社のトレンドマイクロは、ボットネットを構成するウイルス(ボット)を自社の検証用パソコンに感染させ、その挙動を半年にわたって調査した。いわば、ボットネットへの“潜入捜査”だ。その結果、ウイルスに感染した1台のパソコンから、1カ月当たり50種類以上のウイルスメールが25万通程度送られていることが明らかとなった。

今回の調査は“特別”

 ボットネットとは、ウイルス感染パソコンで構成されるネットワークである。C&C(Command & Control)と呼ばれる司令塔のサーバーから攻撃者の命令を受け取り、それに従って動作する。ウイルスメールの送信だけではなく、DDoS攻撃などにも悪用される。オンラインバンキングの認証情報などを盗むウイルス(バンキングトロジャン、オンライン銀行詐欺ツール)やランサムウエア(脅迫ウイルス)で構成されるボットネットもある。

 ボットネットを構成するウイルスにわざと感染し、C&Cサーバーからの命令やウイルスの挙動を調べることは、多くのセキュリティベンダーや研究者などによって10年以上前から実施されている。

 トレンドマイクロでも継続的に実施しているが、2016年10月から2017年3月まで実施した調査では、従来の調査では得られなかったような興味深い結果が得られたという。「半年間という長期にわたる観測に成功し、ボットネットの実態を定量的に示すことができた」(トレンドマイクロ セキュリティエバンジェリストの岡本 勝之氏)。このため同社では、今回の調査結果を公開するとともに、ウイルス感染の危険性を改めて訴えた。

バンキングトロジャンからスパムボットへ

 今回の調査では、1台の調査用パソコンに「BEBLOH(ベブロー)」というバンキングトロジャンを感染させて、その後の状況を観測した。BEBLOHは様々な機能を持つ。このときは、別のウイルスをダウンロードして実行する「ダウンローダー」として動作。攻撃者の配下にある遠隔操作サーバーから、別のダウンローダーである「PUSHDO(プッシュドー)」をダウンロードして実行した。

調査結果の概要
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]

 そして「PUSHDO」が、別のウイルスである「CUTWAIL(カットウエイル)」をダウンロードして実行した。CUTWAILは、攻撃者の命令に従ってメールを送信する。こういったウイルスは「スパムボット」とも呼ばれる。メール送信機能を独自に備えているので、パソコンにインストールされているメールクライアントなどの履歴には残らない。

 つまり、最初はバンキングトロジャンを検証用パソコンに感染させたが、最終的にはスパムボットに感染し、ウイルスメールを送信するボットネットに参加することになった。

ここから先はITpro会員(無料)の登録が必要です。

次ページ 半年間も生き続けたボットネット
  • 1
  • 2
  • 3

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る