ボット感染事件簿--早期発見でシステム再構築回避

神永裕人(イエローリポーツ)

2009-03-03 08:00

 OSやアプリケーションなどのセキュリティホール、スパムメールに埋め込まれたリンクのクリック、怪しいWebページの閲覧、USBメモリなどの外部記憶メディア……。実に様々なルートから、ボットは気付かれぬようにコンピュータへの侵入を試みてくる。数多くのボット感染例を見てきた株式会社ラックのサイバーリスク総合研究所所長、西本逸郎氏は「残念ですが、ボットの感染を完全に予防することは、現実的にまず不可能」と言い切る。

サーバが不可解なリブートを繰り返す

 感染したとしても、ボットは外部からの命令があるまでじっと潜んでいたり、パソコンのユーザーやサーバの管理者から見つからないように活動を偽装したりする。感染の事実に気付くことも容易ではないのだ。

 そしていざ活動を開始すると、ほかのコンピュータに感染しているボットとネットワークを作ったりしながら、外部の悪意ある指令者からの命令に従って様々な悪事を働く。スパムメールの中継、Webサーバの提供サービスを停止に陥れるDoS攻撃、キーボードから入力したIDやパスワードなどの収集と送出、個人情報や機密情報といった重要ファイルの盗み出し、などなど。タチの悪さは格別である。

 とある会社のサーバで起きたボット感染事件は、不思議な現象が発覚のきっかけとなった。それまで何の問題もなく稼動していたサーバが、ある日突然、勝手にリブートを繰り返すようになったのである。「何かがおかしい」。不審に思った管理担当者が何種類かのログを解析してみた。すると、意外な事実が浮かび上がってきた。

ファイルサーバに異常なアクセス

 ファイルサーバが残していたアクセスログの中にヒントはあった。ファイルサーバに繰り返しアクセスを試みているサーバが見つかったのである。しかも、しばらく前のログではアクセスが発生していなかった時間帯にも繰り返されていた。犯人を特定してみると、それは勝手にリブートを繰り返すサーバだった。どうやらファイルサーバ上にあったファイルを漁っていたようで、ボット感染の疑いは極めて高かった。

 さっそくネットワークから切り離し、セキュリティコンサルティング会社の協力も得ながら詳細な調査を実施。見込んでいたとおりボット感染が判明した。感染サーバがリブートを繰り返すようになったのは、ボットをコントロールしていた指令者がミスを犯し、ボットを構成する複数のプログラムのうちのいくつかを削除してしまったことがきっかけになったらしいということも分かった。

 感染から発見、そして駆除までの期間はわずか数日。社内のほかのサーバや端末に感染が広がっている形跡も認められなかった。指令者がミスを犯すという幸運にも助けられたが、ファイルサーバでログを取っていたことが、事件解決に決定的な役割を果たした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]