ウイルス/ワームよりも強力!? 新たなセキュリティ上の脅威「ボット」
感染した複数のマシンによる一斉攻撃の恐怖ワームをしのぐ威力。すでに刑事事件も発生
昨年5月7日、独国で2人のクラッカーが逮捕された。
うち1人には、Sasserワームを作成した容疑がかけられていた。Sasserワームは、マイクロソフトが発表したWindowsの脆弱性「MS04-011」のうち、LSASS(Local Security Authority Subsystem Service)の脆弱性を突き、インターネットに接続しただけで感染してしまうというものだ。このSasserワームの感染は世界中に広がり、最終的には数十万台のPCに被害が及んだと試算されている。一連の被害状況については、テレビのニュースなどでも報道されたので、記憶されている方も多いだろう。
このSasserに加えて、ここ数年、Slammer、Blaster、Welchiaといった強力なワームが立て続けに発生して甚大な被害をもたらしたため、ワームに対する危機意識は一般のユーザーの間で広く浸透した。これらのワームは、一度放たれると感染先がなくなるまで感染活動を繰り返し続けるという特性を持っている。この特性は感染活動に伴い、ネットワークの負荷を上昇させるので、企業のIT/IS部門にとっては、脅威そのものである。
そして、ワームをしのぐ新たな脅威が生まれている。先に述べた独国の逮捕者のもう1人は、「Agobot」「Phatbot」と呼ばれる有害プログラム(Malware、G1)を作成した疑いがかけられていた。Agobotは Windowsの脆弱性を突いてネットワーク経由で感染し、攻撃者がIRC(Internet Relay Chat)経由でAgobotを操り攻撃を行うというもの。また、PhatbotはAgobotの亜種で、攻撃手段としてIRCの代わりにP2Pが用いられる。これらは外部からコントロール可能であるという特徴を持っており、「ボット」と呼ばれる。
G1:Malware……「Malicious Software(悪意のあるソフトウェア)」から生まれた造語。ウイルス/ワームなど、悪用を目的とした有害なプログラム一般を指す
米国のゲーム専門サイト「gamespot.com」によれば、米国のゲーム制作会社、バルブ・ソフトウェアの社長であるゲイブ・ニューウェル氏のところへ、同容疑者から電子メールが送られてきたという。そのメールには、自分はバルブのネットワークに侵入した張本人であると書かれており、同社の未公開文書が添付されていた。当時、バルブでは、開発中のPC向けシューティング・ゲーム「Half-Life 2」のソース・コードが漏洩するという事件が発生したばかりだった。そのため、ニューウェル氏はソース・コード漏洩との関連性を探るべく、同容疑者とコンタクトを取り続けたが、その最中に、同容疑者は当局によって逮捕されてしまった。
正式には、Agobotの作成者がHalf-Life 2のソース・コードを盗んだ犯人であると発表されているわけではないが、実際に検出されているボットが、PCゲームのシリアル・キーを盗み出す機能を備えているのは事実である。こうしたボットは現在、亜種を含めると数千種に上る数が検出されている。よって、ボットは、ウイルス/ワームと同様に、本腰を入れて対策を講じなくてはならない有害プログラムなのである。
「ボット元年」となった2004年
では、実際のところ、ボットの感染状況はどのようになっているのだろうか。
ウイルス対策製品ベンダーのトレンドマイクロは、昨年12月に発表した「2004年度ウイルス感染被害年間レポート」の中で、2004年のトピックとして、ボットの大量発生を挙げている。同リポートでは、日本のトレンドマイクロに寄せられたデータに基づき、2004年1月1日から12月15日にかけて被害の届け出が多かった有害プログラムのランキングも発表されているが、ボットは、4位(WORM_AGOBOT)、6位(WORM_SDBOT)、9位(WORM_RBOT)と上位にランクインしているのである。
また、筆者自身も昨年11月、ハニーポットと呼ばれる「おとりマシン」をインターネットに接続し、攻撃を仕掛けてきた有害プログラムを集計してみた(図1)。網にかかった有害プログラムのうち、実に86%がボットであった。それに対し、ワームの割合は「その他」のうちの数%にすぎなかった。地域差やIPアドレス・ブロックなどの変動要素を考慮しても、これは興味深い結果と言えるだろう。
ボットの威力は、ウイルス対策ソフトの定義ファイルに添付される「what's new」というテキスト・ファイルからもうかがい知ることができる。このファイルには、その定義ファイルで新たに対応することになったウイルス/ワームが示されているが、昨年後半からは、その約半分がボットで占められているのである。
こうした事実からすれば、有害プログラムのトレンドは、昨年を境にワームからボットへとシフトしたと言ってよいだろう。しかし、ウイルス/ワームに比べると、ボットは感染していることに気づきにくいこともあって、その実態が取り上げられることはまだそれほど多くない。以下、ボットの特徴について説明しよう。
