あなたのPCが乗っ取られる - ボットネット

(1/1)
世界中に迷惑メール(スパムメール)が蔓延していますが、その大多数が、普通の企業や家庭のPCから発信されているといいます。いったい何が起きているのでしょうか。

ゾンビPCとボットネット

ボットネット
現在、世界中を流れる電子メールの9割近くが迷惑メール(迷惑メール)だと言われています。
これから説明するボットネットワークを使い、迷惑メール業者はとても安いコストで迷惑メールを出すことができます。京都大学の高倉弘喜准教授によれば、迷惑メールへの返信率が0.001%を超えれば業者は採算がとれると試算しています。
迷惑メール業者は、発信情報を隠すために悪知恵をめぐらしています。
現在普及しつつある手口としては、コンピュータ・ウイルスやワームを使って、一般ユーザーのPCに迷惑メールを発信させるプログラムを仕込むというものです。インターネット越しの遠隔操作によって、これらのPCから一斉に迷惑メールが発信されるのです。
「メッセージラボ インテリジェンス 2009年(平成21年)8月」によると、全世界で流通する迷惑メールの87.9%がこうした遠隔操作によって発信されているといいます。

乗っ取られてしまったPCをゾンビPC、ゾンビPCの集まりをボットネットワーク(bot network)と呼んでいます。会社のPCは、サーバなら常時起動しており、インターネットへも常時接続しているものが多いでしょう。こういうPCがゾンビPCとして狙われます。
最近では、家庭でもホームサーバが増えており、これは会社のPCよりセキュリティが弱いことが多く、ゾンビPCとして格好の餌食になっています。

セキュリティ企業マカフィーの調査によると、1日平均14万8千のゾンビPCが新たに誕生しているといいます。
ゾンビPCが最も多いのはアメリカ(ゾンビPC全体の13.1%)で、2位は中国(同12.2%)、3位はブラジル(同8.0%)となっています。

PCを乗っ取られ誤認逮捕

2012年(平成24年)10月、インターネット上に殺人予告や爆破予告を書き込んだとして逮捕された男性2人が釈放されました。新型ウイルスによってパソコンを乗っ取られ、知らぬ間に第三者が遠隔操作で書き込みを行ったようです。
警察当局によると、今回のウイルスは、これまで事件で扱われたことはなく、市販のウイルス対策ソフトでも検知されない新型のウイルスであったといいます。

北海道大の町村泰貴教授(サイバー法)は、
全く身に覚えのないことで犯罪の疑いがかけられる可能性がある。
しかも、パソコンの知識がない人ほど“犯人”に仕立てられやすい。
と指摘しています。

日本のPCが韓国・米国の政府機関を攻撃

2009年(平成21年)7月10日、JPCERT コーディネーションセンター(JPCERT/CC)は、韓国と米国で発生したDDos攻撃に、日本国内のコンピューター複数が使われたとして注意を喚起しました
セキュリティベンダーのアンラボは、今回の攻撃に使われたウイルスの一部は、ハードディスクを損傷させデータを破壊するなど、個人のパソコンに致命的な損傷を与える可能性があるといいます。
PCをきちんとメンテナンスしておかないと、われわれは被害者であると同時に加害者になってしまいます。

Telecom-ISAC Japanによると、日本国内のインターネット・ユーザーの40~50人に1人がゾンビ化しているそうです。ボットネットワークが占領している帯域は、国内だけで10Gビット/秒に及び、未対策のPCをネットに接続すると、およそ4分でゾンビ化することが分かりました。

世界の状況

セキュリティ企業のCipherTrust社によると、ゾンビPCの動向は日ごとに変わるそうです。2005年(平成17年)3月から4月にかけては中国ベースのゾンビPCがかなりの割合を占めていましたが、4月は中国および米国で多くのゾンビPCが発見されました。さらに5月に入ってからはヨーロッパ諸国で新たなゾンビPCが多く観測されたということです。
ZombieMeterでは、世界地図上からゾンビPCの数の増減をグラフィカルに確認できるほか、ゾンビPCが多く検出されている国や地域が確認できます。2005年(平成17年)7月5日現在、日本のゾンビPCが占める割合は5.26%で、ワースト6位となっています。自慢できる数字ではありませんね。

米McAfeeは、2005年(平成17年)に入り、コンピュータを乗っ取ってゾンビ化する攻撃の伸びが顕著であると発表しました。
2005年(平成17年)の第1四半期と第2四半期だけで、バックドアを使って悪用されたマシンの数は2004年(平成16年)全部よりも63%増えました。とくにボットは、2005年(平成17年)第1四半期から第2四半期にかけて3000件から1万3000件近く、303%と急増しています。

米Symantecが発表した2006年(平成18年)下半期(7月~12月)のセキュリティ脅威レポートによると、全世界でボットに感染しているマシンは600万台に上るそうです。
ボット感染マシンが最も多いのは中国で、世界全体の26%を占めています。一方、ボットに攻撃命令を出すサーバーは米国が最も多く、世界全体の40%を占めています。
また、盗み出された個人情報は、地下経済によって売買されているようです。米国のカード番号は1枚あたり1ドル~6ドル、カード番号に加えて氏名や社会保障番号などが含まれる個人情報は1件あたり14~18ドルで売買されており、こうした地下経済の51%が米国に存在するといいます。

2009年(平成21年)2月、英ケンブリッジ大学の研究者は、ブログ「Light Blue Touchpaper」上で、フィッシング詐欺サイトの7割以上はハッキングされたマシンから流されていたという調査結果を公表しました。
調査報告によると、同じマシンが何度もハッキングされているケースがありました。これは特定の攻撃者が制御したボット上に複数のフィッシング詐欺サイトを開設しているか、複数の攻撃者が別々に同じマシンへ侵入している可能性が考えられるとのこと。同じマシンが4週間以内に再度ハッキングされる確率は10%、6カ月以内では20%に上りました。

2009年(平成21年)4月、米Finjanは、マルウェアに感染した190万台のコンピュータで構成されるボットネットを発見したと伝えました。1つの犯罪組織が制御しているボットネットとしては、過去最大級のものだといいます。感染マシンは米国が45%と、最も多かったそうです。
ゾンビ化されたPCには、感染マシン同士の通信、Webサイトの閲覧、バックグラウンドサービスの登録など多数の機能が仕込まれており、攻撃側がリモートからあらゆる行為を実行できる状態になっていました。

ゾンビPCを作るコンピュータ・ウイルス/ワーム

ゾンビPCの可能性を開いたのは、2003年(平成15年)1月に出現して数多くの亜種を生んだワームSobigでした。Sobigは、感染したPCの中に含まれているメールアドレスを集め、送信者メールアドレスを偽り、集めたメールアドレスに向かって自分自身を送り込むワームでした。
その後に登場した亜種Sobig.Fには、感染PCに任意のファイルをダウンロードし実行する機能が組み込まれていました。この機能を使うことで、遠隔地から感染PCの情報を盗んだり、迷惑メールを発信できるようになっていたのです。この技術が、のちにオープンプロキシと呼ばれる迷惑メール発信機能へと発展していきました。
オープンプロキシは、その後、MyDoomBagleなどに受け継がれていきます。

現在、多くのコンピュータ・ウイルス/ワームは、PC自身に被害を及ぼすことより、利用者に知られないうちにPCをゾンビ化するのが目的の1つになっています。

2005年(平成17年)10月6日に、オランダで世界中の150万台のコンピュータをハッキングし、ゾンビPCのネットワークであるゾンビネットワークを構築した容疑者3名が逮捕されました。当初は10万台のコンピュータをハッキングしたと見られていましたが、調べを進めていくと、ゾンビ化したコンピュータは150万台にのぼることが明らかになりました。容疑者らが使ったのは W32.Toxbot というワームの1種で、2005年(平成17年)に入って発見されたものです。

迷惑メール送信の仕組み

迷惑メール送信の仕組み
1)ボットに感染したパソコンが集まると、ボットを仕掛けたハーダーは、スパマーと2)スパム送信契約を結びます。スパマーは、スパム送信に必要な情報と利用料をハーダーに支払い、ハーダーは3)IRCサーバを使ってボットネットに迷惑メール送信指示を出します。
ボットに感染したパソコンは指示にしたがって、自分が所属するプロバイダの5)メールサーバに対して迷惑メールの配信を始めます。

このように最近では、ハーダーとスパマーが分業し、その間でビジネスが成立しています。
ハーダーは、スパマーから利用料金を受け取ると、ボットネットへのアクセスを許可するIRCのチャネルとパスワード知らせます。スパマーはそれを使って迷惑メールを送信するわけですが、その際に公開プロキシ(オープンプロキシ)としてボットネットを利用します。

ボットネットに個人情報が漏れる

公開プロキシには、感染PCの情報を抜き取る機能も備わっています。
キーロガーとして、感染PCに入力されたすべての情報をボットネットに垂れ流すことも簡単に実現できます。
自分のPCがゾンビ化していることを知らないでオンラインショッピングをしようものなら、氏名、住所、電話番号、クレジットカード番号がボットネット参加者に筒抜けになってしまいます。

そうでなくても、迷惑メールを送りつけられた相手がメール・ヘッダを解析し、あなたにクレームを付けてくる可能性は十分にあります。
私も、自分に送られてくる迷惑メールのヘッダを解析し、プロバイダに注意を促していますが、その中のいくつかは、明らかに個人PCが発信元になっていました。

PCをゾンビ化させないために

基本的なことですが、ほとんどのケースはウイルス対策ツールの導入で回避できます。市販ツールは1年更新で更新料をとられますが、ケチって更新しないまま、などということはないようにしてください。もちろん、ウイルス・パターンファイルの更新は即時実施してください。また、定期的にすべてのディスク内のウイルス・チェックを行ってください。
それから、常時起動しているホームサーバは、できる限りインターネットに接続しない(ルータの設定でフィルタリングを賭ける)ようにしましょう。最近、SoftEtherを使って、会社や外出先からホームサーバにアクセスできるようにしている方が増えていますが、セキュリティ設定について相当の自信がある方はともかく、一般的にはやめておくべきです。

IPA(独立行政法人 情報処理推進機構)は、ボット対策として以下のポイントをあげています
  1. ウイルス対策ソフトやスパイウェア対策ソフトの導入と、それらのソフトが使用するパターンファイル等の定期的な更新を行う(ボットは短期間でバージョンアップする機能があるため、パターンファイルの更新は非常に大事である)
  2. 見知らぬメールの添付ファイルは安易に開かない
  3. 不審なウェブサイトの閲覧を控える
  4. ブラウザ等のセキュリティ設定を高く設定す
  5. 迷惑メール(スパムメール)などに表示されているリンクはクリックしない(見ないで廃棄するのが望ましい)
  6. インターネット接続には、ルータやパーソナルファイアウォールを利用する
  7. コンピュータ上のOSやアプリケーションを常に最新の状態にする(Microsoft Updateの実行など)
繰り返しになりますが、あなたのちょっとした不注意が、全世界に向けて迷惑メールを発信する手先になっているかもしれないのです。もう一度、自宅/会社のPCのセキュリティを確認しましょう。

参考書籍

表紙 迷惑メールは誰が出す?
著者 岡嶋裕史
出版社 新潮社
サイズ 新書
発売日 2008年10月
価格 748円(税込)
ISBN 9784106102837
見知らぬ相手から、なぜ次々に怪しいメールが届くのでしょうか?あなたのメールアドレスが、どうして世界中に知れ渡ってしまうのでしょうか?迷惑メールを送ると、一体誰にどんな利益があるのでしょうか?そして、この無差別なメール攻撃はどうしたら防げるのでしょうか?企業の通信システムを麻痺させ、人心をも破壊する迷惑メールの全貌を解明し、現代のネット社会の闇に迫ります。
 

参考サイト

(この項おわり)
header