ボット感染事件簿--早期発見でシステム再構築回避

神永裕人(イエローリポーツ) 2009年03月03日 08時00分

  • このエントリーをはてなブックマークに追加

 OSやアプリケーションなどのセキュリティホール、スパムメールに埋め込まれたリンクのクリック、怪しいWebページの閲覧、USBメモリなどの外部記憶メディア……。実に様々なルートから、ボットは気付かれぬようにコンピュータへの侵入を試みてくる。数多くのボット感染例を見てきた株式会社ラックのサイバーリスク総合研究所所長、西本逸郎氏は「残念ですが、ボットの感染を完全に予防することは、現実的にまず不可能」と言い切る。

サーバが不可解なリブートを繰り返す

 感染したとしても、ボットは外部からの命令があるまでじっと潜んでいたり、パソコンのユーザーやサーバの管理者から見つからないように活動を偽装したりする。感染の事実に気付くことも容易ではないのだ。

 そしていざ活動を開始すると、ほかのコンピュータに感染しているボットとネットワークを作ったりしながら、外部の悪意ある指令者からの命令に従って様々な悪事を働く。スパムメールの中継、Webサーバの提供サービスを停止に陥れるDoS攻撃、キーボードから入力したIDやパスワードなどの収集と送出、個人情報や機密情報といった重要ファイルの盗み出し、などなど。タチの悪さは格別である。

 とある会社のサーバで起きたボット感染事件は、不思議な現象が発覚のきっかけとなった。それまで何の問題もなく稼動していたサーバが、ある日突然、勝手にリブートを繰り返すようになったのである。「何かがおかしい」。不審に思った管理担当者が何種類かのログを解析してみた。すると、意外な事実が浮かび上がってきた。

ファイルサーバに異常なアクセス

 ファイルサーバが残していたアクセスログの中にヒントはあった。ファイルサーバに繰り返しアクセスを試みているサーバが見つかったのである。しかも、しばらく前のログではアクセスが発生していなかった時間帯にも繰り返されていた。犯人を特定してみると、それは勝手にリブートを繰り返すサーバだった。どうやらファイルサーバ上にあったファイルを漁っていたようで、ボット感染の疑いは極めて高かった。

 さっそくネットワークから切り離し、セキュリティコンサルティング会社の協力も得ながら詳細な調査を実施。見込んでいたとおりボット感染が判明した。感染サーバがリブートを繰り返すようになったのは、ボットをコントロールしていた指令者がミスを犯し、ボットを構成する複数のプログラムのうちのいくつかを削除してしまったことがきっかけになったらしいということも分かった。

 感染から発見、そして駆除までの期間はわずか数日。社内のほかのサーバや端末に感染が広がっている形跡も認められなかった。指令者がミスを犯すという幸運にも助けられたが、ファイルサーバでログを取っていたことが、事件解決に決定的な役割を果たした。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]