ボット感染事件簿--早期発見でシステム再構築回避

神永裕人(イエローリポーツ) 2009年03月03日 08時00分

  • このエントリーをはてなブックマークに追加

 OSやアプリケーションなどのセキュリティホール、スパムメールに埋め込まれたリンクのクリック、怪しいWebページの閲覧、USBメモリなどの外部記憶メディア……。実に様々なルートから、ボットは気付かれぬようにコンピュータへの侵入を試みてくる。数多くのボット感染例を見てきた株式会社ラックのサイバーリスク総合研究所所長、西本逸郎氏は「残念ですが、ボットの感染を完全に予防することは、現実的にまず不可能」と言い切る。

サーバが不可解なリブートを繰り返す

 感染したとしても、ボットは外部からの命令があるまでじっと潜んでいたり、パソコンのユーザーやサーバの管理者から見つからないように活動を偽装したりする。感染の事実に気付くことも容易ではないのだ。

 そしていざ活動を開始すると、ほかのコンピュータに感染しているボットとネットワークを作ったりしながら、外部の悪意ある指令者からの命令に従って様々な悪事を働く。スパムメールの中継、Webサーバの提供サービスを停止に陥れるDoS攻撃、キーボードから入力したIDやパスワードなどの収集と送出、個人情報や機密情報といった重要ファイルの盗み出し、などなど。タチの悪さは格別である。

 とある会社のサーバで起きたボット感染事件は、不思議な現象が発覚のきっかけとなった。それまで何の問題もなく稼動していたサーバが、ある日突然、勝手にリブートを繰り返すようになったのである。「何かがおかしい」。不審に思った管理担当者が何種類かのログを解析してみた。すると、意外な事実が浮かび上がってきた。

ファイルサーバに異常なアクセス

 ファイルサーバが残していたアクセスログの中にヒントはあった。ファイルサーバに繰り返しアクセスを試みているサーバが見つかったのである。しかも、しばらく前のログではアクセスが発生していなかった時間帯にも繰り返されていた。犯人を特定してみると、それは勝手にリブートを繰り返すサーバだった。どうやらファイルサーバ上にあったファイルを漁っていたようで、ボット感染の疑いは極めて高かった。

 さっそくネットワークから切り離し、セキュリティコンサルティング会社の協力も得ながら詳細な調査を実施。見込んでいたとおりボット感染が判明した。感染サーバがリブートを繰り返すようになったのは、ボットをコントロールしていた指令者がミスを犯し、ボットを構成する複数のプログラムのうちのいくつかを削除してしまったことがきっかけになったらしいということも分かった。

 感染から発見、そして駆除までの期間はわずか数日。社内のほかのサーバや端末に感染が広がっている形跡も認められなかった。指令者がミスを犯すという幸運にも助けられたが、ファイルサーバでログを取っていたことが、事件解決に決定的な役割を果たした。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化