全2832文字
PR

掲示板経由で遠隔操作

 4つ目は、遠隔から操作できるマルウエア(ボット)との通信に正規の掲示板サービスを悪用する方法だ(図6)。2012年に国内で発生した事例を基に説明する。

図6●掲示板に命令を書き込んでボットを操作する
図6●掲示板に命令を書き込んでボットを操作する
正規の掲示板を悪用する手口もある。2012年に日本国内で発生した事例では、ボットを操作して別の掲示板に悪意のある書き込みをした。
[画像のクリックで拡大表示]

 まず攻撃者は、掲示板に書き込んだURLやメールなどを使って、被害者のパソコンをボットに感染させる。感染したボットは、あらかじめ指定された掲示板サービスに新しいスレッドを作成。攻撃者はスレッドの作成によって、ボットに感染したパソコンがあると分かる。

 攻撃者がそのスレッドに命令を書き込むと、ボットは命令を受信。その命令の実行結果を掲示板に書き込む。

 さらに攻撃者は、スレッドから別の掲示板に悪意のある書き込みをするように命令した。こうすることで、その書き込みを攻撃者でなく、被害者が書き込んだように見えるようにした。

 このほかにもGmailやDropbox、AWSを悪用した事例も見つかっている。

 例えばGmailを悪用する「Kedi」というマルウエアは、Gmailの受信ボックスに届いたメールを読んで、メール本文に書かれた命令を実行するようになっていた。

 今回紹介したように、正規のサービスを悪用するマルウエアの通信はドメインやIPアドレスからは判断できない。また判断できたとしても、SNSやクラウドサービスとの通信を一律に遮断することは、業務に支障が出るため難しいだろう。

 この手口に対する特効薬はない。マルウエアの接続先は不正なものばかりではなく、正規サービスへの接続に紛れ込ませるケースがあることをまずは知っておこう。

▼C&Cサーバー
C&CはCommand&Controlの略。C2サーバーと呼ぶこともある。
▼UTM
Unified Threat Managementの略。
▼URL
Uniform Resource Locatorの略。
▼HTTP
HyperText Transfer Protocolの略。
▼HTTPS
HTTP Secureの略。HTTPの通信をTLSを使って通信データを暗号化したり、改ざんを検知したり、通信相手を認証したりする。
▼SNS
Social Networking Serviceの略。
▼AWS
Amazon Web Servicesの略。
▼HTML
HyperText Markup Languageの略。