ボット感染事件簿--早期発見でシステム再構築回避

神永裕人(イエローリポーツ) 2009年03月03日 08時00分

  • このエントリーをはてなブックマークに追加

 OSやアプリケーションなどのセキュリティホール、スパムメールに埋め込まれたリンクのクリック、怪しいWebページの閲覧、USBメモリなどの外部記憶メディア……。実に様々なルートから、ボットは気付かれぬようにコンピュータへの侵入を試みてくる。数多くのボット感染例を見てきた株式会社ラックのサイバーリスク総合研究所所長、西本逸郎氏は「残念ですが、ボットの感染を完全に予防することは、現実的にまず不可能」と言い切る。

サーバが不可解なリブートを繰り返す

 感染したとしても、ボットは外部からの命令があるまでじっと潜んでいたり、パソコンのユーザーやサーバの管理者から見つからないように活動を偽装したりする。感染の事実に気付くことも容易ではないのだ。

 そしていざ活動を開始すると、ほかのコンピュータに感染しているボットとネットワークを作ったりしながら、外部の悪意ある指令者からの命令に従って様々な悪事を働く。スパムメールの中継、Webサーバの提供サービスを停止に陥れるDoS攻撃、キーボードから入力したIDやパスワードなどの収集と送出、個人情報や機密情報といった重要ファイルの盗み出し、などなど。タチの悪さは格別である。

 とある会社のサーバで起きたボット感染事件は、不思議な現象が発覚のきっかけとなった。それまで何の問題もなく稼動していたサーバが、ある日突然、勝手にリブートを繰り返すようになったのである。「何かがおかしい」。不審に思った管理担当者が何種類かのログを解析してみた。すると、意外な事実が浮かび上がってきた。

ファイルサーバに異常なアクセス

 ファイルサーバが残していたアクセスログの中にヒントはあった。ファイルサーバに繰り返しアクセスを試みているサーバが見つかったのである。しかも、しばらく前のログではアクセスが発生していなかった時間帯にも繰り返されていた。犯人を特定してみると、それは勝手にリブートを繰り返すサーバだった。どうやらファイルサーバ上にあったファイルを漁っていたようで、ボット感染の疑いは極めて高かった。

 さっそくネットワークから切り離し、セキュリティコンサルティング会社の協力も得ながら詳細な調査を実施。見込んでいたとおりボット感染が判明した。感染サーバがリブートを繰り返すようになったのは、ボットをコントロールしていた指令者がミスを犯し、ボットを構成する複数のプログラムのうちのいくつかを削除してしまったことがきっかけになったらしいということも分かった。

 感染から発見、そして駆除までの期間はわずか数日。社内のほかのサーバや端末に感染が広がっている形跡も認められなかった。指令者がミスを犯すという幸運にも助けられたが、ファイルサーバでログを取っていたことが、事件解決に決定的な役割を果たした。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!