米国の独立記念日(7月4日)に、米国のホワイトハウス、国防総省などの政府機関、さらには、ニューヨーク証券取引所、ナスダックなどの金融機関やメディアなどのWebサイトがサイバー攻撃を受けた。さらに7月7日からは韓国の政府機関への攻撃が行われた。結果、一部のWebサイトはアクセス不能となった。すでにTVや新聞などでも報道されており、攻撃元として具体的な国名などもあがっているが、現時点ではその確認はとれていない。

まず、今回行われたDDoS攻撃であるが、多数のDos攻撃を同時に行うものである。DoSはDenial of Serviceが正式名で、サービス不能攻撃などとも呼ばれる。DDoSはDistributed Denial of Serviceが正式名称で、複数(実際には相当な数)のDoS攻撃を同時に仕掛けるものである。このような攻撃では、悪意を持った攻撃者にのっとられたゾンビPCなどが、踏み台として利用される。このような攻撃してくるPCは把握することは可能であるが、実際の攻撃を命令している真犯人を突き止めることは非常に困難とされている。シマンテックのセキュリティブログ「Security Response Blogs」では、今回のDDoS攻撃を分析し、米国時間7月9日時点で把握している攻撃内容を公開した。

複数のマルウェアを使った攻撃

今回の攻撃では、シマンテックの識別名で、

• W32.Dozer
• Trojan.Dozer
• W32.Mydoom.A＠mm
• W32.Mytob!gen

というマルウェアが関与する。これが互いに、しかも巧みに連携して攻撃が行われる。

第1段階

感染したPCから収集した電子メールアドレスへ「W32.Mytob!gen」が他のすべてのコンポーネントを含んだドロッパーである「W32.Dozer」を配布する。

第2段階

電子メールの添付ファイルとして送信された「W32.Dozer」をユーザーが実行してしまうと、システム内に「Trojan.Dozer」と「W32.Mydoom.A＠mm」がインストールされる。

第3段階

「Trojan.Dozer」はDDoS攻撃を実行し、バックドアを開く。「W32.Mydoom.A＠mm」は、「W32.Mytob!gen」をシステムにインストールし、悪意を持った攻撃者の意図に従い「W32.Mytob!gen」をアンインストールすることが可能な削除ツールも同時に残す。

第4段階

「W32.Mytob!gen」がシステム内の電子メールアドレスを収集、「W32.Dozer」を配布する。

このようなサイクルで、感染の拡大と攻撃が行われる。「Trojan.Dozer」はバックドアとして機能し、特定のポートを通じて指定されたIPアドレスに接続する。シマンテックで確認されたIPアドレスやポートは、次のとおりである。

• TCP53番ポートから213.33.116.41
• TCP80番ポートから216.199.83.203
• TCP443番ポートから213.23.243.210

トロイの木馬はここから指示を受け、自身のアップデートやDDoS攻撃のステータスの表示を行う。また、ダウンロードしたパッケージに含まれる特定のサイトに対してDDoS攻撃を行う指示も受ける。DDoS攻撃を行うために、攻撃先に対し、GETやPOST、UDP、ICMP、TCP ACK、TCP SYNなどのHTTPプロトコルが使われ、セッションを開始する。

攻撃の概要 「Security Response Blogs」Webサイトより

このDDoS攻撃への対策は

シマンテックでは、これらの攻撃に対する対応策として以下をあげている。ユーザーにおいは常にセキュリティソフトウェアのアップデートを実施すること。さらに、電子メールの添付ファイルのフィルタリングやファイヤウォールから上記のIPアドレスをブロックするといった対策も有効であるとのことだ。上記のマルウェアに感染することで、被害者ではなく攻撃者となってしまうこともある。くれぐれも注意してほしい。