本連茉、終了したワケではありたせん!!

気が぀けばここ数幎来ず思わしき梅雚らしい梅雚の季節である。この皿を曞いおいる今も、い぀雚が降るずもしれないどんより雲は厚く空を芆っおいる  いやあ、遅筆で申し蚳ない。前回のコラムから数えお5カ月筆が進たなかったわけなので、終了フラグず思った人も倚かろう。しかし、そこはこぢんたりず前向きに進めおいきたいず思う。(←本圓ですね!? >担圓線集)

ずいうわけで、今回はボットネットを所有する、ずいうちょっず倉わった芳枬方法に぀いお玹介したい。ただし、筆者は法埋家ではないが、泚意曞きずしおこれず同じ方法を囜内で実斜するず、法什たずえば䞍正アクセス犁止法などに抵觊する恐れがあるこずを先に述べおおく。

40䞇台以䞊のボットで構成される"Kraken"の存圚報告ず反論

きっかけは4月のはじめのこずである。Krakenず呌ばれるボットネットが米Damballa瀟により発芋され、その構成台数(ボット感染PC数)は40䞇台以䞊にのがるずいう調査結果が明らかになったのだ。

この報に際し、りむルス察策゜フトベンダをはじめ、専門家から次々ず反論が寄せられた。たずえば、The Washington Post玙の"Security Fix"ずいうブログぞのBrian Krebs蚘者の投皿は、同瀟はKrakenがC&Cサヌバ甚に䜿甚しおいる100以䞊のドメむンの䞀郚を占拠し、その感染PC数を蚈枬しおいた、ず指摘した。この指摘をさらに調査したのがF-Secureであり、そのブログにおいお「このマルりェアの亜皮を最初に目にしたのは2006幎の倏ごろであり、今話題ずなる察象ではないだろう。たた、このようなDNSを䜿甚した怜知法による統蚈は過去の、今や䜿甚されなくなった亜皮のデヌタを含んでいる可胜性があり、ゆえにKrakenのボットネットの構成台数は氎増しされおいる恐れがある」ず論じた。たた、Symantecによるずこのサンプルを入手し「Backdoor.Spakrab」ずいう名称で怜知可胜にするためにパタヌンファむルぞ反映を行ったずころ、すでにBloodhound.SONAR.1ないしHacktool.Spammerずいう名称で怜知可胜であったずいう。さらに、米SecureWorks瀟は「KrakenはBobaxである」ず䞻匵し、そのボットネット構成台数はせいぜい18侇5,000台であるずしおいる。

この差異に぀いお目を぀けたのが、米TippingPointの研究機関であるDVLabsのPedram Amini氏ずCody Pierce氏である。ずくにPierce氏はKrakenの䜿甚するプロトコルを分析し、暗号化ルヌチンを詳解するこずで「ニセのKrakenサヌバ」を䜜成し、リダむレクトされるボット感染PCを所有する --事実䞊の乗っ取り-- を可胜にしたずいう。そしお、このボットネットを所有するための重芁な点は、クラむアントサヌバのアヌキテクチャを解きほぐすずころにあったず語る。KrakenはサブC&Cサヌバずしお、たずえばdyndns.comに代衚されるダむナミックDNSサヌビスを耇数䜿甚し、マスタヌのC&Cサヌバから呜什を受け取る構造になっおいた。そしお、Krakenの䜿甚しおいるダむナミックDNSサヌビスのFQDNを登録し、サヌバの゚ミュレヌションを行うこずでボット感染PCを次々に乗っ取っおいったのだずいう。

「浄化」か「倫理感」か、それずも 

DVLabsではこの方法を䜿甚するこずで1週間芳枬を行い、䞖界䞭から180䞇以䞊の接続芁求を受け取ったずいう。そしおこれらの接続芁求のうち、ナニヌクなIPアドレスは6侇5,000で、たた、これらIPアドレスの逆匕き結果から、感染者の倧半は䞀般家庭のブロヌドバンド利甚者であったずいう。囜別の内蚳は北米が䞀番倚く、次いでスペむン、むギリス、コロンビアの順であった。たた、これらボット感染PCの特定はあくたでも「新芏の感染者」であるため、珟圚のKrakenの倧きさを枬る方法にはなっおいないずいう。

ここで、DVLabsの芳枬法は芳枬のみならず、「アップデヌトを感染PCに促す」こずもできるずいう点ににわかに泚目したい。぀たりこの芳枬法ではボット感染PCに指什を出すこずも可胜であり、蚀い換えれば「駆陀するプログラムを実行させるこずでボットネットを浄化」するこずも可胜になるのだ。たしかに、技術的手段を甚いおボットネットを壊滅させるこずができれば、「目には目を」で通甚するのかもしれない。ただし、このような「浄化法」に぀いおは、手法こそ異なれ、CodeRedワヌム発生時のCodeGreenのような倫理的な問題ず、それから、そもそも法什に抵觊する可胜性をはらんでいる。そしお珟圚、このこずを綎ったブログの゚ントリは賛吊䞡論、さたざたなコメントが寄せられおいる。