PR

オーバーフローはDoS攻撃の手口に

 DEPを初めとする防御技術は,バッファ・オーバーフロー攻撃によるワーム感染をほぼ完璧にブロックできる。現状ではWindows XP Service Pack 2やPaX,Exec-Shieldが稼働していないマシンも多い。同時に,米AMD社のAthlon 64や米Intel社のNX対応Pentium 4といったCPUが稼働するシステムはまだあまり広まっていないように見受けられる。しかし,時が経つにつれてほとんどのマシンがDEP対応になるだろう。今後の投資によってバッファ・オーバーフローによるワームへの感染という懸念は薄れることになる。

 ではバッファ・オーバーフロー攻撃そのものがなくなるかといえば,筆者はそのように考えてはいない。形が変わって残るのではないか。先に述べたように,DEP相当の機構はバッファ・オーバーフロー攻撃を「例外」として処理し,最終的にはプログラムが終了する。バッファ・オーバーフローによるプログラムやシステムの停止という状況は,回避できない。今後,インターネットでこれまで以上にお金や重要な情報が行き来することを考えれば,ネットワークやコンピュータの停止/処理遅延はビジネス上致命的になる。これらの状況を考え合わせれば,今後,バッファ・オーバーフローに関する研究は,いかにアプリケーションを終了させず,攻撃からコンピュータを守るかという方向に進むと考えられる。

感染ではなく乗っ取りが目的に

 バッファ・オーバーフローによるワーム感染という最大の脅威が解決に向かう一方で,新しい脅威が顕在化しつつある。「ボット」である。2004年はボットの年と呼んでいいほど,ボット関連のセキュリティ問題が大きくクローズアップされた。

図4●ボットネット
同じボットが埋め込まれたコンピュータ群はボットネットと呼ばれる。攻撃者がインターネットにつながるコンピュータに対して,脆弱性などを突いてボットを埋め込む(感染したコンピュータをゾンビと呼ぶ)。最終的にゾンビに対して一斉にコマンドを送り,分散攻撃(DDoS攻撃)を仕掛ける。

 ボットとは,ワームのように一度拡散すればその作者の意図とは関係なく動作するものではなく,感染したコンピュータをボット作者がコントロールできるように作られた悪意あるプログラムである(図4[拡大表示])。ボットに感染したコンピュータは,一般にゾンビと呼ばれる。ある特定のボットが埋め込まれ,ボット作者の指揮下,一斉に動作するゾンビの集まりをボットネットあるいはゾンビクラスタと呼ぶ。

 ゾンビはボットを制御するコンピュータ(コントローラ)の指示を受け,スパムメールの送信や特定サイトへのDDoS攻撃に利用される。DDoSにせよ,スパム送信にせよ,かつてはインターネットのサーバーを踏み台にして別のサイトを攻撃する手口が一般的だった。常時接続の一般化に伴い,これがクライアントに移ってきたともいえる。

 クライアントが踏み台にされることによって,踏み台攻撃による被害はけた違いに大きくなる。ボットネットの規模(ゾンビの台数)に依存するが,ボットネットによるDDoS攻撃は数百Mビット/秒から数Gビット/秒のトラフィックを生むと考えられている。そうした通信が一気に発生すればネットワークが麻痺することは想像に難くない。

 2004年6月に起きた米Akamai Technologies社の管理するDNSサーバーへの攻撃はこの懸念が杞憂ではないことを示している。6月16日にAkamaiが明らかにしたところによると,前日の15日に同社が運営しているDNSサーバーを狙ってDDoS攻撃が行われた。その結果,米Apple Computer社,米Google社,米Microsoft社,米Yahoo!社といった著名なWebサイトが,約2時間にわたってアクセスできない状態になった。

 Akamaiは,この事件を「ボットを悪用した攻撃であった」と説明している。この攻撃の指揮者が家庭のパソコンに埋め込まれたボットを操縦することで,同社のDNSサーバーに対して大量のデータを送りつけたのである。これによりDNSサーバーの能力では対応できなくなり,上記のWebサイトへのアクセスが不可能になったという。同社は最終的に,ネットワーク・インフラのパートナーと共同でボット・ネットワークを突き止め,そこからのアクセスを遮断することで攻撃を食い止めた。