PR
ボットの国別感染状況の表示画面(ウェブセンスの情報から引用)
ボットの国別感染状況の表示画面(ウェブセンスの情報から引用)
[画像のクリックで拡大表示]
ダウンロードプログラムの指定画面(ウェブセンスの情報から引用)
ダウンロードプログラムの指定画面(ウェブセンスの情報から引用)
[画像のクリックで拡大表示]
ボット感染パソコンの検索画面(シマンテックの情報から引用
ボット感染パソコンの検索画面(シマンテックの情報から引用
[画像のクリックで拡大表示]

 セキュリティベンダーの米シマンテック米ウェブセンスは2007年2月20日および21日(現地時間)、ボットをコントロールする新たなプログラムが確認されたとして注意を呼びかけた。

 ボットとは、ユーザーに気付かれないようにパソコンに感染し、そのパソコンを攻撃者が自由に操れるようにする凶悪なウイルスのこと。パソコン内の情報を盗まれるだけではなく、迷惑メールの中継や、Webサイトなどへの攻撃の踏み台に悪用される。フィッシング詐欺目的の偽サイトを構築される恐れなどもある。

 セキュリティベンダーやセキュリティ組織の情報によれば、最近では、ボットネットに命令を出したり、ボットの感染状況などを把握したりするためのプログラムが“洗練”されて使いやすくなっているという。その一つが、今回シマンテックやウェブセンスが報告した“指令プログラム”である。

 今回の指令プログラムでコントロールされるボットは、Windowsのぜい弱性(セキュリティホール)「MS06-014」を突いて感染する。このぜい弱性が存在するパソコンで特定のWebサイトにアクセスすると、「iexplorer.exe」というファイル名のプログラムが勝手にダウンロードされインストールされる。すると、このiexplorer.exeは別のWebサイトから、5種類のボットをダウンロードして実行する。

 これらのボットは、そのWebサイトに置かれた指令プログラムと通信し、自分たちがインストールされているパソコンの情報を送信するとともに、命令を待ち受ける。攻撃者は、この指令プログラムにWebブラウザーでアクセスすれば、ボットの統計情報を閲覧できるとともに命令を送れる。例えば、任意のファイルのアップロードやダウンロード、フィッシング詐欺目的の偽サイトの構築などが可能となる。セキュリティベンダーは、このWebサイトにアクセスすることで、指令プログラムの存在を確認したと考えられる。

 例えば指令プログラムでは、ボットがどの国のパソコンに感染しているのかを調べられる(上図)。ウェブセンスによれば、この「Count」は1日あたりの感染パソコン数を表しているという。つまり、ウェブセンスが確認した時点では、1日あたり1000台以上のパソコンに感染していたことになる。

 また、ボットにダウンロードさせる別のプログラム(ボット)も指定できる(中図)。ボット感染パソコンの情報はデータベース化され、特定の条件に合う感染パソコンを検索することも可能だ(下図)。

 ボット自身はもちろんのこと、ボットをコントロールするツールも“進化”する一方。ユーザーはこの現状を認識し、警戒する必要がある。具体的には、ボットに感染しないように、「修正プログラムを適用する」「セキュリティ対策ソフトを使う」「不審なファイルは開かない/不審なリンクはクリックしない」――といった対策が不可欠だ。