あなたのPCが乗っ取られる - ボットネット

(1/1)
世界中に迷惑メール(スパムメール)が蔓延していますが、その大多数が、普通の企業や家庭の PC から発信されているといいます。いったい何が起きているのでしょうか。

ゾンビPCとボットネット

ボットネット
現在、世界中を流れる電子メールの 9 割近くが迷惑メール(迷惑メール)だと言われています。
これから説明するボットネットワークを使い、迷惑メール業者はとても安いコストで迷惑メールを出すことができます。京都大学の高倉弘喜准教授によれば、迷惑メールへの返信率が 0.001%を超えれば業者は採算がとれると試算しています。
迷惑メール業者は、発信情報を隠すために悪知恵をめぐらしています。
現在普及しつつある手口としては、コンピュータ・ウイルスやワームを使って、一般ユーザーの PC に迷惑メールを発信させるプログラムを仕込むというものです。インターネット越しの遠隔操作によって、これらの PC から一斉に迷惑メールが発信されるのです。
「メッセージラボ インテリジェンス 2009 年(平成 21 年)8 月」によると、全世界で流通する迷惑メールの 87.9%がこうした遠隔操作によって発信されているといいます。

乗っ取られてしまった PC をゾンビ PC、ゾンビ PC の集まりをボットネットワーク(bot network)と呼んでいます。会社の PC は、サーバなら常時起動しており、インターネットへも常時接続しているものが多いでしょう。こういう PC がゾンビ PCとして狙われます。
最近では、家庭でもホームサーバが増えており、これは会社の PC よりセキュリティが弱いことが多く、ゾンビ PCとして格好の餌食になっています。

セキュリティ企業マカフィーの調査によると、1 日平均 14 万 8 千のゾンビ PC が新たに誕生しているといいます。
ゾンビ PC が最も多いのはアメリカ(ゾンビ PC 全体の 13.1%)で、2 位は中国(同 12.2%)、3 位はブラジル(同 8.0%)となっています。

PCを乗っ取られ誤認逮捕

2012 年(平成 24 年)10 月、インターネット上に殺人予告や爆破予告を書き込んだとして逮捕された男性 2 人が釈放されました。新型ウイルスによってパソコンを乗っ取られ、知らぬ間に第三者が遠隔操作で書き込みを行ったようです。
警察当局によると、今回のウイルスは、これまで事件で扱われたことはなく、市販のウイルス対策ソフトでも検知されない新型のウイルスであったといいます。

北海道大の町村泰貴教授(サイバー法)は、

全く身に覚えのないことで犯罪の疑いがかけられる可能性がある。
しかも、パソコンの知識がない人ほど“犯人”に仕立てられやすい。


と指摘しています。

日本のPCが韓国・米国の政府機関を攻撃

2009 年(平成 21 年)7 月 10 日、JPCERT コーディネーションセンター(JPCERT/CC)は、韓国と米国で発生した DDos 攻撃に、日本国内のコンピューター複数が使われたとして注意を喚起しました
セキュリティベンダーのアンラボは、今回の攻撃に使われたウイルスの一部は、ハードディスクを損傷させデータを破壊するなど、個人のパソコンに致命的な損傷を与える可能性があるといいます。
PC をきちんとメンテナンスしておかないと、われわれは被害者であると同時に加害者になってしまいます。

Telecom-ISAC Japanによると、日本国内のインターネット・ユーザーの 40~50 人に 1 人がゾンビ化しているそうです。ボットネットワークが占領している帯域は、国内だけで 10G ビット/秒に及び、未対策の PC をネットに接続すると、およそ 4 分でゾンビ化することが分かりました。

世界の状況

セキュリティ企業の CipherTrust社によると、ゾンビ PC の動向は日ごとに変わるそうです。2005 年(平成 17 年)3 月から 4 月にかけては中国ベースのゾンビ PC がかなりの割合を占めていましたが、4 月は中国および米国で多くのゾンビ PC が発見されました。さらに 5 月に入ってからはヨーロッパ諸国で新たなゾンビ PC が多く観測されたということです。
ZombieMeterでは、世界地図上からゾンビ PC の数の増減をグラフィカルに確認できるほか、ゾンビ PC が多く検出されている国や地域が確認できます。2005 年(平成 17 年)7 月 5 日現在、日本のゾンビ PC が占める割合は 5.26%で、ワースト 6 位となっています。自慢できる数字ではありませんね。

米McAfee は、2005 年(平成 17 年)に入り、コンピュータを乗っ取ってゾンビ化する攻撃の伸びが顕著であると発表しました。
2005 年(平成 17 年)の第1 四半期と第2 四半期だけで、バックドアを使って悪用されたマシンの数は 2004 年(平成 16 年)全部よりも 63%増えました。とくにボットは、2005 年(平成 17 年)第1 四半期から第2 四半期にかけて 3000 件から 1 万 3000 件近く、303%と急増しています。

米Symantec が発表した 2006 年(平成 18 年)下半期(7 月~12 月)のセキュリティ脅威レポートによると、全世界でボットに感染しているマシンは 600 万台に上るそうです。
ボット感染マシンが最も多いのは中国で、世界全体の 26%を占めています。一方、ボットに攻撃命令を出すサーバーは米国が最も多く、世界全体の 40%を占めています。
また、盗み出された個人情報は、地下経済によって売買されているようです。米国のカード番号は 1 枚あたり 1 ドル~6 ドル、カード番号に加えて氏名や社会保障番号などが含まれる個人情報は 1 件あたり 14~18 ドルで売買されており、こうした地下経済の 51%が米国に存在するといいます。

2009 年(平成 21 年)2 月、英ケンブリッジ大学の研究者は、ブログ「Light Blue Touchpaper」上で、フィッシング詐欺サイトの 7 割以上はハッキングされたマシンから流されていたという調査結果を公表しました。
調査報告によると、同じマシンが何度もハッキングされているケースがありました。これは特定の攻撃者が制御したボット上に複数のフィッシング詐欺サイトを開設しているか、複数の攻撃者が別々に同じマシンへ侵入している可能性が考えられるとのこと。同じマシンが 4週間以内に再度ハッキングされる確率は 10%、6 カ月以内では 20%に上りました。

2009 年(平成 21 年)4 月、米Finjan は、マルウェアに感染した 190 万台のコンピュータで構成されるボットネットを発見したと伝えました。1 つの犯罪組織が制御しているボットネットとしては、過去最大級のものだといいます。感染マシンは米国が 45%と、最も多かったそうです。
ゾンビ化された PC には、感染マシン同士の通信、Web サイトの閲覧、バックグラウンドサービスの登録など多数の機能が仕込まれており、攻撃側がリモートからあらゆる行為を実行できる状態になっていました。

ゾンビPCを作るコンピュータ・ウイルス/ワーム

ゾンビ PCの可能性を開いたのは、2003 年(平成 15 年)1 月に出現して数多くの亜種を生んだワームSobigでした。Sobig は、感染した PC の中に含まれているメールアドレスを集め、送信者メールアドレスを偽り、集めたメールアドレスに向かって自分自身を送り込むワームでした。
その後に登場した亜種Sobig.Fには、感染 PC に任意のファイルをダウンロードし実行する機能が組み込まれていました。この機能を使うことで、遠隔地から感染 PC の情報を盗んだり、迷惑メールを発信できるようになっていたのです。この技術が、のちにオープンプロキシと呼ばれる迷惑メール発信機能へと発展していきました。
オープンプロキシは、その後、MyDoomBagleなどに受け継がれていきます。

現在、多くのコンピュータ・ウイルス/ワームは、PC自身に被害を及ぼすことより、利用者に知られないうちに PC をゾンビ化するのが目的の 1 つになっています。

2005 年(平成 17 年)10 月 6 日に、オランダで世界中の 150 万台のコンピュータをハッキングし、ゾンビ PC のネットワークであるゾンビネットワークを構築した容疑者3 名が逮捕されました。当初は 10 万台のコンピュータをハッキングしたと見られていましたが、調べを進めていくと、ゾンビ化したコンピュータは 150 万台にのぼることが明らかになりました。容疑者らが使ったのは W32.Toxbot というワームの 1種で、2005 年(平成 17 年)に入って発見されたものです。

迷惑メール送信の仕組み

迷惑メール送信の仕組み
1)ボットに感染したパソコンが集まると、ボットを仕掛けたハーダーは、スパマーと2)スパム送信契約を結びます。スパマーは、スパム送信に必要な情報と利用料をハーダーに支払い、ハーダーは3)[IRC サーバを使ってボットネットに迷惑メール送信指示blue]を出します。
ボットに感染したパソコンは指示にしたがって、自分が所属するプロバイダの5)メールサーバに対して迷惑メールの配信を始めます。

このように最近では、ハーダーとスパマーが分業し、その間でビジネスが成立しています。
ハーダーは、スパマーから利用料金を受け取ると、ボットネットへのアクセスを許可する IRC のチャネルとパスワード知らせます。スパマーはそれを使って迷惑メールを送信するわけですが、その際に公開プロキシ(オープンプロキシ)としてボットネットを利用します。

ボットネットに個人情報が漏れる

公開プロキシには、感染 PC の情報を抜き取る機能も備わっています。
キーロガーとして、感染 PC に入力されたすべての情報をボットネットに垂れ流すことも簡単に実現できます。
自分の PC がゾンビ化していることを知らないでオンラインショッピングをしようものなら、氏名、住所、電話番号、クレジットカード番号がボットネット参加者に筒抜けになってしまいます。

そうでなくても、迷惑メールを送りつけられた相手がメール・ヘッダを解析し、あなたにクレームを付けてくる可能性は十分にあります。
私も、自分に送られてくる迷惑メールのヘッダを解析し、プロバイダに注意を促していますが、その中のいくつかは、明らかに個人 PC が発信元になっていました。

PCをゾンビ化させないために

基本的なことですが、ほとんどのケースはウイルス対策ツールの導入で回避できます。市販ツールは1年更新で更新料をとられますが、ケチって更新しないまま、などということはないようにしてください。もちろん、ウイルス・パターンファイルの更新は即時実施してください。また、定期的にすべてのディスク内のウイルス・チェックを行ってください。
それから、常時起動しているホームサーバは、できる限りインターネットに接続しない(ルータの設定でフィルタリングを賭ける)ようにしましょう。最近、SoftEtherを使って、会社や外出先からホームサーバにアクセスできるようにしている方が増えていますが、セキュリティ設定について相当の自信がある方はともかく、一般的にはやめておくべきです。

IPA(独立行政法人 情報処理推進機構)は、ボット対策として以下のポイントをあげています
  1. ウイルス対策ソフトやスパイウェア対策ソフトの導入と、それらのソフトが使用するパターンファイル等の定期的な更新を行う(ボットは短期間でバージョンアップする機能があるため、パターンファイルの更新は非常に大事である)
  2. 見知らぬメールの添付ファイルは安易に開かない
  3. 不審なウェブサイトの閲覧を控える
  4. ブラウザ等のセキュリティ設定を高く設定す
  5. 迷惑メール(スパムメール)などに表示されているリンクはクリックしない(見ないで廃棄するのが望ましい)
  6. インターネット接続には、ルータやパーソナルファイアウォールを利用する
  7. コンピュータ上の OS やアプリケーションを常に最新の状態にする(Microsoft Update の実行など)
繰り返しになりますが、あなたのちょっとした不注意が、全世界に向けて迷惑メールを発信する手先になっているかもしれないのです。もう一度、自宅/会社の PC のセキュリティを確認しましょう。

参考書籍

表紙 迷惑メールは誰が出す?
著者 岡嶋裕史
出版社 新潮社
サイズ 新書
発売日 2008年10月
価格 734円(税込)
rakuten
ISBN 9784106102837
見知らぬ相手から、なぜ次々に怪しいメールが届くのでしょうか?あなたのメールアドレスが、どうして世界中に知れ渡ってしまうのでしょうか?迷惑メールを送ると、一体誰にどんな利益があるのでしょうか?そして、この無差別なメール攻撃はどうしたら防げるのでしょうか?企業の通信システムを麻痺させ、人心をも破壊する迷惑メールの全貌を解明し、現代のネット社会の闇に迫ります。
 

参考サイト

(この項おわり)
header