PR

 感染すると攻撃者からインターネット経由で遠隔操作される恐れのある「バックドア型不正プログラム」、いわゆる遠隔操作ウイルスに対する関心が高まっている。このタイプのウイルスを犯行に利用した一連の「遠隔操作ウイルス事件」は記憶に新しいだろう。警察がPCの所有者4人を誤認逮捕し、そのことが2012年10月ごろテレビや新聞などでも大きく報道された。

 その事件は2012年に起こったものだが、実はバックドア型不正プログラムは最近登場したわけではない。10年以上も前から存在する。また、2011年夏ごろから大きく報道されるようになった標的型攻撃でも、バックドア型不正プログラムが使われている。標的型攻撃では、攻撃者は主にメールを使って標的のPCをバックドア型不正プログラムに感染させ、そのPCを起点に組織内のさまざまなサーバーのアクセス権限を取得し、情報を窃取していく。

4割の標的型攻撃にBKDR_POISONが使われた

図1●2012年上半期の標的型攻撃に用いられたバックドア型不正プログラム<BR>トレンドマイクロの調査結果。50件の標的型攻撃について、どのようなバックドア型不正プログラムが利用されたのかを調べた。BKDR_POISONおよびBKDR_DARKMOONが約4割を占める
図1●2012年上半期の標的型攻撃に用いられたバックドア型不正プログラム
トレンドマイクロの調査結果。50件の標的型攻撃について、どのようなバックドア型不正プログラムが利用されたのかを調べた。BKDR_POISONおよびBKDR_DARKMOONが約4割を占める
[画像のクリックで拡大表示]

 2012年上半期に発生した標的型攻撃50件について調べたところ、その約4割で「BKDR_POISON(ポイズン)」「BKDR_DARKMOON(ダークムーン)」というバックドア型不正プログラムが使われていた(図1)。BKDR_POISONおよびBKDR_DARKMOONは、いずれもインターネット上で無償公開されている同一のRAT(Remote Administration Tool)で作られたものである(二つのバックドア型不正プログラムはほぼ同じなので、両者を合わせて「BKDR_POISON」と表記する)。

 BKDR_POISONに感染したPCは、「C&C(Command & Control)サーバー」と呼ぶプログラムを使って遠隔操作されてしまう。BKDR_POISONがサーバー側プログラム、C&Cサーバーがクライアント側プログラムとして動作する(図2)。

図2●遠隔操作ウイルスを用いた攻撃
図2●遠隔操作ウイルスを用いた攻撃
攻撃者はC&Cサーバーと呼ばれるプログラムを用いて、遠隔操作ウイルスのBKDR_POISONが感染した標的のPCを操る。C&Cサーバーがクライアント側プログラム、BKDR_POISONがサーバー側プログラムとして動く

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
日経電子版セット今なら2カ月無料