ゾンビ・マシンはどこに多い? 米国プロレクシックが調査
米国プロレクシックは先週、外部から不正に遠隔操作されたコンピュータ、いわゆる「ゾンビ・マシン」から実行されたDoS(サービス妨害)攻撃の実際の数を、過去6カ月にわたって追跡した調査結果を発表した。
このゾンビ調査レポートによると、ゾンビ・マシンが最も多かったネットワークは米国アメリカ・オンライン(AOL)の「aol.com」であり、aol.com上のゾンビ・マシンの数は検出されたゾンビ・マシン全体の5.3%を占めた。
「著名なインターネット・サービス・プロバイダー(ISP)のネットワークの一部にゾンビ・マシンがはびこるのは、意外なことではない。大規模な分散型DoS(DDoS)攻撃を行なうために以前から利用されているのは、そうしたネットワークだ。ホーム・ユーザーは、評判の良いISPに加入しただけでは、自分がオンライン犯罪に加担してしまうのを必ずしも避けることはできない」と、プロレクシックのCTO(最高技術責任者)バレット・ライアン氏は指摘している。
2位はドイツ・テレコムのネットワーク(「t-dialin.net」や「t-ipconnect.de」など)で全体の4.67%を占め、3位はフランスのワナドゥーの「wanadoo.fr」の3.27%だった。なお、20位までがリストされているが、「ne.jp」が2.52%で4位に入っている。
また、検出されたゾンビ・マシンの所在している国について見ると、全体に占める割合が高かった上位5カ国は米国(18%)、中国(11.2%)、ドイツ(9.6%)、英国(5.1%)、フランス(5.1%)だった。日本は7位(3.37%)である。
ただし、人口当たりのゾンビ・マシンの数を比べると、香港がトップであり、2〜5位はドイツ、マレーシア、ハンガリー、英国の順となっている。日本は15位だった。
また、プロレクシックは、ゾンビ・マシンを使ったDDoS攻撃の手法にはこの数カ月間で変化が見られ、攻撃者が、攻撃を仕掛けるゾンビ・マシンの実IPアドレスが攻撃相手に知られる“フルコネクション・ベースのフラッド攻撃”を好むようになってきたと指摘している。この手の力ずくのアプローチがあいかわらず有効なのは、ブラックリストへの登録システムが膨大なアドレス数に対応しきれないためという。
(Originally reported by John E. Dunn, Techworld 06/20/2005)
(Techworld (UK))
