米SANS Instituteによると,ノルウェーのISPである「Telenor」は9月7日,1万台を超えるパソコンで構成された攻撃用ネットワークへの命令元となるIRC(Internet Relay Chat)サーバーをシャットダウンしたという。他人のパソコンに悪質なプログラム(トロイの木馬など)をインストールさせて攻撃用ネットワークを構築し,スパムやDDoS(分散サービス妨害)攻撃の踏み台にすることが,攻撃者にとって“トレンド”になっている。踏み台にされないよう気をつけたい。
悪質なプログラムをインストールされたパソコンは「ゾンビ(ゾンビ・マシン)」,ゾンビ・マシンで構成されたネットワークは「ボットネット(botnet)」や「ボット・ネットワーク(bot network)」などと呼ばれる。ボットネットでは,各ゾンビ・マシンへの通信手段としてIRCが利用される場合が多い。
特定のIRCサーバーのあるチャンネルへ攻撃者がコマンドを送信すると,そのコマンドは各ゾンビ・マシンへ一斉に送信され,ゾンビ・マシンで実行される。コマンドだけではなくファイルを送信することもできる。つまり,ボットネットを使えば,あるサイトへ一斉に大量のパケットを送信したり,スパムを撒き散らしたりすることが可能となる。
今回Telenorがシャットダウンしたのは,同社の管理下にあるIRCサーバー。このIRCサーバーから,1万台を超えるゾンビ・マシンへコマンドが送信されていた。今回の件に限らず,知らないうちにゾンビ・マシンになっているパソコンはとても多いと考えられている。英Netcraftによると,米国防総省内にもゾンビ・マシンが見つかったという。ゾンビ・マシンになると,実際には被害者であるにもかかわらず,加害者になってしまう。十分注意したい。
セキュリティ対策をきちんと施していれば,ゾンビ・マシンになることを防げる。ウイルス対策ソフトの多くは,ボットネット用プログラムをウイルスの一種として検出する。また,ブロードバンド・ルーターやパーソナル・ファイアウオールを正しく使っていれば,ボットネットの通信を遮断できる。
これらの対策を施していない常時接続パソコンは,既にゾンビ・マシンになっている可能性がある。思い当たるパソコンがあれば,すぐに対策を施すとともに,ウイルス対策ソフトでハード・ディスクをスキャンしてみることをお勧めする。
◎参考資料
◆IRC Botnet, Solaris in.named Vulnerability, Information about SuckIT Rootkit(米SANS Institute)
◆U.S. Defense, Senate Computers are Zombie Spammers(英Netcraft)
(勝村 幸博=IT Pro)
