レポートを公開

JPCERT/CCの分析で浮上したボット、確認できなかったボット

2007/06/22

 JPCERTコーディネーションセンター(JPCERT/CC)のボット分析によると、クライアント側だけでなく、サーバ側、特にWebアプリケーションの脆弱性を狙うボットが登場しており、時期によっては攻撃全体の8割以上を占めることもあったという。一方で、現在主流のIRCの代わりに PtoP通信を制御に利用する、いわゆる「PtoP型ボット」については、その存在が確認されなかった。

 JPCERT/CCは6月21日、「P2P型ボット分析レポート」「マルウェアの最近の傾向とウェブアプリケーションの脆弱性を狙うボットの実態」および「標的型攻撃について」という3種類のレポートを公表した。ボットやウイルスなど、最近のマルウェアの特徴や傾向についてまとめたものだ。

 このレポートによると、2005年11月から2006年4月ごろにかけて、サーバ側の脆弱性を悪用する攻撃の増加が見られた。従来ボットといえば、Windows OSの脆弱性などクライアント側の脆弱性を突くものが多数派と見られていたが、一般にあまり知られていないPHPやアクセスログ解析プログラム「AWStats」の脆弱性を狙う「KAIGENT」「KAITEN」「MARE」といったボットが登場し、実際に多数の攻撃が確認されたという。

 ボットがWebアプリケーションの脆弱性を狙うようになった理由として、JPCERT/CCの早期警戒グループ、中谷昌幸氏は「Webアプリケーションを提供するためにTCP/80やTCP/443といったポートを開く必要があるが、こうしたポートを開ける以上はファイアウォールでの防御は困難だ。また、稼働中のWebサーバでは安定稼働が優先されるため、セキュリティパッチが適用されないことも多く、比較的古い脆弱性でもそのまま利用され得る」と述べている。

bot01.jpg JPCERT/CC早期警戒グループの中谷昌幸氏

 「PHPの脆弱性に関する情報はたくさん公開されている。今後もPHPの脆弱性を狙った攻撃が起こる可能性がある」(中谷氏)

 またウイルス全般の傾向として、銀行のアカウント情報よりも、リスクの少ないオンラインゲームやインスタントメッセンジャーのアカウントを狙うウイルスが増加していること、ウイルスのインストーラ/アップデータとして動作する「ダウンローダ」が増加し、検出や完全な駆除を困難にしていることも挙げられるという。

PtoP型ボットは「調査時点では存在しない」

 一方、PtoP型ボット分析レポートでは、ボットのコントロールにPtoP技術を利用する「PtoP型ボット」の実態について分析した。

 「Agobot」「W32.Nugache.A@mm」「Trojan.Peacom」(Stormワーム)という3種類の検体の挙動を、ソースコード解析およびリバースエンジニアリングによって分析したところ、「調査時点では、ボットの指揮系統をPtoPで実現したものは存在しなかった」(ラック先端技術開発部の新井悠氏)という。

bot02.jpg ラック先端技術開発部の新井悠氏

 これまで行われてきたボット/ボットネット調査の結果、攻撃などの命令を下す手段として広くIRCが利用されていることが明らかになっていた。だが、IRCサーバを停止させればボットネットを解体に追い込むことが可能と考えられる。そこで攻撃者側は次の手段として、PtoP技術を採用しつつあると指摘されていた。

 だが今回の分析では、その危険性はまだ顕在化していないことが明らかになった。例えばAgobotのソースコードに含まれているPtoPによる指揮統制メカニズムは「試作」に過ぎないものだったし、W32.Nugache.A@mmに至ってはPtoPではなくIRCを利用していることが明らかになった。

 Trojan.Peacomについては、追加モジュールのダウンロードにPtoP型通信ソフト「eDonkey」を利用することが分かったという。ただ、これはあくまでペイロードの運搬手段としてであり、指令そのものがPtoPネットワーク形式で伝わるわけではなかった。

 新井氏はPtoP型ボットについて、「ファイアウォールできちんとアウトバウンド通信を制御していれば、かいくぐることができないため、PtoPによるメリットはさほど享受できない」と述べ、攻撃側にとってもさほど魅力的なツールではないと指摘。現時点では、PtoP型ボットの脅威は顕在化しているとは言い難いとした。

 ただ一連の解析の結果、ボットをより「見えにくく」する工夫が発見されたのも事実だ。Trojan.Peacomでは、Rootkitを利用し、ウイルス対策ソフトによる検出を回避しようとする高度な自己隠蔽機能が実装されていることが明らかになった。また、ファイアウォールで止めてしまうわけにはいかないWeb(HTTPやHTTPS)を指揮統制に利用するボットが存在する可能性もあり、今後注意して見ていく必要があるという。

関連リンク

(ITmedia)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -