【レポート】

Black Hat Japan 2005 - ISPの戦い、Episode I-IV - Antinnyのトラフィックは800Mbps

 

ハッカーの祭典Black Hat Japan 2005 Briefingの2日目、ISPの業界団体・Telecom-ISAC Japanの企画調整部副部長の小山覚氏(NTTコミュニケーションズ)が登壇、JPCERT/CCと共同で実施した「ボットネット実態調査」の結果を示すとともに、「ISPとMalwareの戦い」と題した講演を行った。

ボットネットは、ウイルスなどの不正ツールを使ってインターネット上のPCを遠隔から操作できるようにしたPC(ゾンビPC)のネットワークを指す。ゾンビPCは、一般的に脆弱性を放置したPCで、ボットネットに組み込まれていることに気づいていない。

ボットネットの基本的な構成

Telecom-ISAC Japanが解析した「Agobot」の機能

攻撃者は、このボットネットを使い、一斉に特定のサイトにアクセスするDoS攻撃を行ったり、各ゾンビPCからスパムメールを発信したりと、さまざまな悪意のある行動を行う。小山氏によれば、ボットネットの問題が国内で表面化したのは、このスパムメールの大量送信からだったという。2004年春、「.jp」ドメイン宛の大量のメールが送信され、その多くがエラーメールとなったため、ISPのメールサーバーに大きな負荷がかかった。しかも、送られたメールは日本語メールだったにもかかわらず、送信元は海外の数百~数千というIPアドレスとなっており、今までのスパムとは状況が違っていた。

そこでTelecom-ISAC Japanが調査を行った結果、これらのスパムはボットネット(Zombie Cluster)を使って送信された疑いが濃厚になったのだそうだ。

しかしその当時、ISPがもっとも対策に頭を悩ませていたのが、国産のファイル共有ソフト「Winny」を経由して感染を拡大していた「Antinny」ワームの対策だったという。Antinnyは、感染したPCの情報を漏えいさせるという問題があったが、その亜種の一部が、コンピュータソフトウェア著作権協会(ACCS)にDoS攻撃を行い、それにより、4月には一部のISPで、DNSサーバーの負荷が平常時の6倍以上に跳ね上がる異常事態になるほどだった。「ボットネットは犯罪組織が金もうけのために行うが、(Antinnyは)やりたい放題だった」(小山氏)。

Telecom-ISAC Japanでは、ACCSのサーバーのIPアドレスに対するアクセスを破棄することでISPのDNSサーバーの高負荷を回避することにし、その結果、6月以降は負荷が平常通りとなった。ちなみにこのDoS攻撃では、800Mbps近いトラフィックがACCSサーバーのIPアドレスに押し寄せていたそうだ。このときを振り返って小山氏は、「マルウェア(この場合はワーム)恐るべし。インターネットの平和を保つため、自分たちで何とかしないと(インターネットが)崩壊させられると感じた」と語る。

Antinnyによるトラフィック

この対策に追われている間に、ボットネットによるスパム送信が頻発していた。ようやく本格的な調査が開始されたのは2005年1月以降だったという。これは、Telecom-ISAC JapanとJPCERT/CCが中心となり、ISP、ウイルス対策ソフトベンダ、セキュリティサービスベンダが連携、「古い伝統的なボットプログラム」(同)である「Agobot」のソースコードを解析、各種調査を行った結果、40~50人に一人の割合でボットに感染していることが判明し、脆弱なPCをネットにつなぐと、わずか4分でボットに感染することが分かったそうだ。しかも、国内全体で500Gbpsのネットワークのうち、数Gbpsがボットのトラフィックで常に消費されていたという。

ボットネットは、その所有者(Herder=羊飼い)がIRCを使って各ゾンビPCに指令を出す――というのが基本的な仕組みだと小山氏。特にソースを解析したAgobotは、メンテナンスや情報収集、ウイルス対策ソフトなどを停止する自己防衛機能、そしてゾンビPCのコントロールと攻撃を実行する、といった機能を備えていた。

Telecom-ISAC Japanでは、調査のためにハニーポットを構築、ウイルスやワーム、ボットといった悪意あるプログラムの収集を行ったところ、42日間の間に、1日平均で758.2件、88.2種類のプログラムを検出、そのうち84.2件、70種類の未知のプログラムが発見されたという。

Telecom-ISAC Japanが構築したハニーポット。通常ではあり得ない、不特定多数への通信をISPが協力してルーティングして集約、通信内容を分析した

そのうち8割がボットに分類されるプログラムで、マルウェアのトレンドがワームからボットに移行している、と小山氏。ボットの中でも「RBOT」「POEBOT」「SDBOT」の上位3種類が95%を占めたそうだ。また、常時20種類程度のボットが感染活動を行っており、ピークでは150種類のボットが活動していた。

こうしたボットへの調査を行った結果、ボットはスパム送信に際してリダイレクトポートを使い、しかもそのポートは頻繁に変更されることが判明。しかも1つのIPアドレスからの送信量を限定することでISPの制限を回避したり、ゾンビPCがsubmissionポートなどを使うことでISPのOutbound Port 25 Blockingをかいくぐったり、「よくスパマーは考えている」と小山氏自身が感心するほどの工夫が凝らされているそうだ。

小山氏は、ボット感染の多くが脆弱性をターゲットにしており、基本的なITリテラシーなどの教育が重要と指摘。さらに、ボットを駆除し、PCを復旧するためのツールが不足している点を問題視。ウイルス対策ソフトベンダもすべてのボットを把握していないため、それ以外にも対策を実施する必要があるとした。「ISPはマルウェア、ワームから(インフラを)守るためにいろいろやっている。設備を守ること。それが結果として顧客を守ることになる」(小山氏)。

なお、小山氏は、これまでのISPとマルウェアとの戦いを振り返り、「Episode I」を2001年以降のCodeRed II / Nimda / Slammer、「Episode II」を2003年夏のBlaster / Sobig F、「Episode III」を2004年のAntinny、「Episode IV」を2005年のボットネット、と表現している。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

35万円を超える10.1型Let'snote20周年モデルにその価値はあるか? - 第3回 RZとパフォーマンス
[06:00 8/24] パソコン
『つるピカハゲ丸』の漫画家・のむらしんぼ、壮大なしくじり体験を告白
[06:00 8/24] エンタメ
尾野真千子、本格サスペンスで濡れ場にも挑戦「大変がほとんどでした(笑)」
[06:00 8/24] エンタメ
仲代達矢、玉木宏と初共演に「大変緊張」 - 永田町のドン役で対峙
[06:00 8/24] エンタメ
残念OLはキラキラ妄想がお好き 第51回 自信持っていいかな!?
[06:00 8/24] ライフスタイル

求人情報