あなたのPCが乗っ取られる~ボットネット

(1/3)
世界中に迷惑メール(スパムメール)が蔓延していますが、その大多数が、普通の企業や家庭の PC から発信されているといいます。いったい何が起きているのでしょうか。

ゾンビPCとボットネット

迷惑メール(スパムメール)業者は、発信情報を隠すために悪知恵をめぐらしています。
現在普及しつつある手口としては、コンピュータ・ウイルスやワームを使って、一般ユーザーの PC に迷惑メールを発信させるプログラムを仕込むというものです。インターネット越しの遠隔操作によって、これらの PC から一斉に迷惑メールが発信されるのです。
乗っ取られてしまった PC をゾンビ PC、ゾンビ PC の集まりをボットネットワーク(bot network)と呼んでいます。会社の PC は、サーバなら常時起動しており、インターネットへも常時接続しているものが多いでしょう。こういう PC がゾンビ PCとして狙われます。
最近では、家庭でもホームサーバが増えており、これは会社の PC よりセキュリティが弱いことが多く、ゾンビ PCとして格好の餌食になっています。
space
イギリスのセキュリティ会社Sophos社によると、全世界のゾンビ PCの数は 50 万台ないし 200 万台と分析しています。そして、迷惑メールの実に 80%がゾンビ PCから送られてくるといいます。
space
セキュリティ企業の CipherTrust社は、全世界のゾンビ PC の動向をリアルタイムに把握できる Web サイト ZombieMeter を公開しています。
同社によると、ゾンビ PC の動向は日ごとに変わるそうです。2005 年 3 月から 4 月にかけては中国ベースのゾンビ PC がかなりの割合を占めていましたが、4 月は中国および米国で多くのゾンビ PC が発見されました。さらに 5 月に入ってからはヨーロッパ諸国で新たなゾンビ PC が多く観測されたということです。
ZombieMeterでは、世界地図上からゾンビ PC の数の増減をグラフィカルに確認できるほか、ゾンビ PC が多く検出されている国や地域が確認できます。2005 年 7 月 5 日現在、日本のゾンビ PC が占める割合は 5.26%で、ワースト 6 位となっています。自慢できる数字ではありませんね。
space
米McAfee は、2005 年に入り、コンピュータを乗っ取ってゾンビ化する攻撃の伸びが顕著であると発表しました。
2005 年の第1 四半期と第2 四半期だけで、バックドアを使って悪用されたマシンの数は 2004 年全部よりも 63%増えました。とくにボットは、2005 年第1 四半期から第2 四半期にかけて 3000 件から 1 万 3000 件近く、303%と急増しています。
space
Telecom-ISAC Japanによると、日本国内のインターネット・ユーザーの 40~50 人に 1 人がゾンビ化しているそうです。ボットネットワークが占領している帯域は、国内だけで 10G ビット/秒に及び、未対策の PC をネットに接続すると、およそ 4 分でゾンビ化することが分かりました。
space
米Symantec が発表した 2006 年下半期(7 月~12 月)のセキュリティ脅威レポートによると、全世界でボットに感染しているマシンは 600 万台に上るそうです。
ボット感染マシンが最も多いのは中国で、世界全体の 26%を占めています。一方、ボットに攻撃命令を出すサーバーは米国が最も多く、世界全体の 40%を占めています。
また、盗み出された個人情報は、地下経済によって売買されているようです。米国のカード番号は 1 枚あたり 1 ドル~6 ドル、カード番号に加えて氏名や社会保障番号などが含まれる個人情報は 1 件あたり 14~18 ドルで売買されており、こうした地下経済の 51%が米国に存在するといいます。

ゾンビPCを作るコンピュータ・ウイルス/ワーム

ゾンビ PCの可能性を開いたのは、2003 年 1 月に出現して数多くの亜種を生んだワームSobigでした。Sobig は、感染した PC の中に含まれているメールアドレスを集め、送信者メールアドレスを偽り、集めたメールアドレスに向かって自分自身を送り込むワームでした。
その後に登場した亜種Sobig.Fには、感染 PC に任意のファイルをダウンロードし実行する機能が組み込まれていました。この機能を使うことで、遠隔地から感染 PC の情報を盗んだり、迷惑メールを発信できるようになっていたのです。この技術が、のちにオープンプロキシと呼ばれる迷惑メール発信機能へと発展していきました。
オープンプロキシは、その後、MyDoomBagleなどに受け継がれていきます。
space
現在、多くのコンピュータ・ウイルス/ワームは、PC自身に被害を及ぼすことより、利用者に知られないうちに PC をゾンビ化するのが目的の 1 つになっています。
space
2005 年 10 月 6 日に、オランダで世界中の 150 万台のコンピュータをハッキングし、ゾンビ PC のネットワークであるゾンビネットワークを構築した容疑者3 名が逮捕されました。当初は 10 万台のコンピュータをハッキングしたと見られていましたが、調べを進めていくと、ゾンビ化したコンピュータは 150 万台にのぼることが明らかになりました。容疑者らが使ったのは W32.Toxbot というワームの 1種で、2005 年に入って発見されたものです。
この項つづく
header