ISPの悪質サイトブロックと「通信の秘密」

小山安博 2008年09月05日 20時37分

  • このエントリーをはてなブックマークに追加

 セキュリティベンダーのセキュアコンピューティングジャパンが開催した「Secure Japan Forum 2008」の基調講演に、NTTPCコミュニケーションズ 執行役員 事業企画部長の小山覚氏が登壇し、「汚れたインターネットの再生は可能か〜見えない化が進む攻撃手法との戦い〜」と題した講演を行った。

小山覚氏 小山覚氏

 今回、小山氏はTelecom-ISAC Japanやサイバークリーンセンター(CCC)などで実施しているボットネット対策を中心に話を進めた。小山氏によれば、国内でボットネットに感染した端末1台からのScanトラフィックは60kbps以下と少ないが、DNSクエリは未感染PCの最大で650倍となる1時間当たり1万〜2万クエリ、メール送信数は1時間当たり1000〜2000通、多い場合は1万〜2万通が送信されているという。「最近の家庭のPCには、毎秒1000通のメールを送信できるパワーがある」と小山氏。

ボットに感染した端末1台あたりの通信量 ボットに感染した端末1台あたりの通信量

 そのボットだが、ネット上に登場したのは2002年秋ごろといわれている。

 小山氏が最初期のボット「Agobot」のソースコードを入手して調べたところ、メンテナンス機能や自己防衛機能、攻撃機能など、さまざまな機能が搭載されており、「ありとあらゆる機能がてんこ盛りだった」(小山氏)。このようにたくさんの機能を備えるのがボットの特徴で、小山氏は「マルウェアの総合デパート」と表現する。

Agobotが持つ機能 Agobotが持つ機能
Agobotのメンテナンス機能はGUIで操作できるようになっていた Agobotのメンテナンス機能はGUIで操作できるようになっていた

 小山氏らは、rxBOTと呼ばれるボットのソースコードを入手し、閉鎖環境でテストしたり、外部からの通信は受けつつ、外部への通信は送信しないハニーポットを設置してボットの動作を観察し、その対策を検討してきた。

小山氏らが実験で構築したボットネット。1台が感染するとそこから感染が拡大していく 小山氏らが実験で構築したボットネット。1台が感染するとそこから感染が拡大していく
ボットに感染したマシンからは、IRCサーバーに対してログインが行われる。たくさんのPCが感染してボットネットが構築されると、一斉にIRCへログインが行われる。これがボットネット完成の瞬間だという ボットに感染したマシンからは、IRCサーバーに対してログインが行われる。たくさんのPCが感染してボットネットが構築されると、一斉にIRCへログインが行われる。これがボットネット完成の瞬間だという

 テストの結果、例えばボットがスパムメールを送信する場合、スパマーからのメールはランダムなTCPポートを利用し、ボットが転送するメールはTCP25番ポートを利用することが分かった。ISPにとっては、ボット(に感染したPC)が送信するメールは契約者のメールでありブロックできず、スパマーからのメールはランダムなTCPポートを使うためにブロックできない、という状況だった。

ハニーポットが観測したスパムメールのトラフィック。ほとんどがスパムで、ウイルスなどが添付されたメールはわずか。送信確認メールは、攻撃者が利用可能かどうかを確認するために送ったメールだという ハニーポットが観測したスパムメールのトラフィック。ほとんどがスパムで、ウイルスなどが添付されたメールはわずか。送信確認メールは、攻撃者が利用可能かどうかを確認するために送ったメールだという
ボットにおけるスパム送信のメカニズム。ボット化したPCがIRCに接続、攻撃者(Herder)の指令で別のポートに接続、そこからさらにProxyのダウンロードサイトにアクセスしてメール送信Proxyをダウンロードする。動作確認のためのサイトにアクセスし、さらに送信確認のサイトにアクセス。その上でスパマーがメールを送信すると、それを転送する形でスパムを送信する。この間、わずか10分 ボットにおけるスパム送信のメカニズム。ボット化したPCがIRCに接続、攻撃者(Herder)の指令で別のポートに接続、そこからさらにProxyのダウンロードサイトにアクセスしてメール送信Proxyをダウンロードする。動作確認のためのサイトにアクセスし、さらに送信確認のサイトにアクセス。その上でスパマーがメールを送信すると、それを転送する形でスパムを送信する。この間、わずか10分

 こうした状況に対して、日本では国内ISPやセキュリティベンダー、総務省、経済産業省が共同で「世界でも類を見ない」というCCCの運営を始めた。

ネットに接続して4分でボットに感染

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • 【3/31まで早期割引受付中!】「IBM Watson Summit 2017」開催

    日本IBMが主催する最大の国内総合イベント。テクノロジー・リーダーの疑問を紐解く「企業IT、セキュリティー、モバイル、データ解析などの進化を探る」詳細はこちらから!

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化