ISPの悪質サイトブロックと「通信の秘密」

小山安博 2008年09月05日 20時37分

  • このエントリーをはてなブックマークに追加

 セキュリティベンダーのセキュアコンピューティングジャパンが開催した「Secure Japan Forum 2008」の基調講演に、NTTPCコミュニケーションズ 執行役員 事業企画部長の小山覚氏が登壇し、「汚れたインターネットの再生は可能か〜見えない化が進む攻撃手法との戦い〜」と題した講演を行った。

小山覚氏 小山覚氏

 今回、小山氏はTelecom-ISAC Japanやサイバークリーンセンター(CCC)などで実施しているボットネット対策を中心に話を進めた。小山氏によれば、国内でボットネットに感染した端末1台からのScanトラフィックは60kbps以下と少ないが、DNSクエリは未感染PCの最大で650倍となる1時間当たり1万〜2万クエリ、メール送信数は1時間当たり1000〜2000通、多い場合は1万〜2万通が送信されているという。「最近の家庭のPCには、毎秒1000通のメールを送信できるパワーがある」と小山氏。

ボットに感染した端末1台あたりの通信量 ボットに感染した端末1台あたりの通信量

 そのボットだが、ネット上に登場したのは2002年秋ごろといわれている。

 小山氏が最初期のボット「Agobot」のソースコードを入手して調べたところ、メンテナンス機能や自己防衛機能、攻撃機能など、さまざまな機能が搭載されており、「ありとあらゆる機能がてんこ盛りだった」(小山氏)。このようにたくさんの機能を備えるのがボットの特徴で、小山氏は「マルウェアの総合デパート」と表現する。

Agobotが持つ機能 Agobotが持つ機能
Agobotのメンテナンス機能はGUIで操作できるようになっていた Agobotのメンテナンス機能はGUIで操作できるようになっていた

 小山氏らは、rxBOTと呼ばれるボットのソースコードを入手し、閉鎖環境でテストしたり、外部からの通信は受けつつ、外部への通信は送信しないハニーポットを設置してボットの動作を観察し、その対策を検討してきた。

小山氏らが実験で構築したボットネット。1台が感染するとそこから感染が拡大していく 小山氏らが実験で構築したボットネット。1台が感染するとそこから感染が拡大していく
ボットに感染したマシンからは、IRCサーバーに対してログインが行われる。たくさんのPCが感染してボットネットが構築されると、一斉にIRCへログインが行われる。これがボットネット完成の瞬間だという ボットに感染したマシンからは、IRCサーバーに対してログインが行われる。たくさんのPCが感染してボットネットが構築されると、一斉にIRCへログインが行われる。これがボットネット完成の瞬間だという

 テストの結果、例えばボットがスパムメールを送信する場合、スパマーからのメールはランダムなTCPポートを利用し、ボットが転送するメールはTCP25番ポートを利用することが分かった。ISPにとっては、ボット(に感染したPC)が送信するメールは契約者のメールでありブロックできず、スパマーからのメールはランダムなTCPポートを使うためにブロックできない、という状況だった。

ハニーポットが観測したスパムメールのトラフィック。ほとんどがスパムで、ウイルスなどが添付されたメールはわずか。送信確認メールは、攻撃者が利用可能かどうかを確認するために送ったメールだという ハニーポットが観測したスパムメールのトラフィック。ほとんどがスパムで、ウイルスなどが添付されたメールはわずか。送信確認メールは、攻撃者が利用可能かどうかを確認するために送ったメールだという
ボットにおけるスパム送信のメカニズム。ボット化したPCがIRCに接続、攻撃者(Herder)の指令で別のポートに接続、そこからさらにProxyのダウンロードサイトにアクセスしてメール送信Proxyをダウンロードする。動作確認のためのサイトにアクセスし、さらに送信確認のサイトにアクセス。その上でスパマーがメールを送信すると、それを転送する形でスパムを送信する。この間、わずか10分 ボットにおけるスパム送信のメカニズム。ボット化したPCがIRCに接続、攻撃者(Herder)の指令で別のポートに接続、そこからさらにProxyのダウンロードサイトにアクセスしてメール送信Proxyをダウンロードする。動作確認のためのサイトにアクセスし、さらに送信確認のサイトにアクセス。その上でスパマーがメールを送信すると、それを転送する形でスパムを送信する。この間、わずか10分

 こうした状況に対して、日本では国内ISPやセキュリティベンダー、総務省、経済産業省が共同で「世界でも類を見ない」というCCCの運営を始めた。

ネットに接続して4分でボットに感染

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算