TOP設計・移行・活用> BOTとは
アンチウイルスソリューション
1億円の企業ダメージを回避するウイルス対策ソリューション

第4回:最近のウイルスの特徴とその傾向
 著者:トレンドマイクロ  黒木 直樹   2005/10/26
前のページ  1  2   3  4  次のページ
BOTとは

   表1の2位と4位にRBOT、SDBOTという「ROBOT(ロボット)」が由来といわれている『BOT』というウイルスがランキングされており、図1のように検出される種類が年々増えていて話題になっている。
BOTの種類数の推移
図1:BOTの種類数の推移

   BOT系ウイルスには多くの種類および亜種があり、その種類によって感染方法は多少異なるものの、基本的には表3のような方法で感染する。

不正ログオン
あらかじめ用意された文字列をアカウントやパスワードとして使用して、ネットワーク上の他のコンピュータにログオンを試みる。ログオンに成功すると、ネットワークの共有フォルダなどに自身のコピーを作成してコピーした自身を実行する。
セキュリティホールからの侵入
Windowsのセキュリティホールを利用して、ネットワーク上の他のコンピュータに侵入を試みる。

表3:BOTの感染方法

   感染したBOTは種類によって活動が多少異なるものの、基本的には表4のようなウイルス活動を行う。

ワーム活動
不正ログインやWindowsのセキュリティホールをついた侵入から、自分をネットワーク上の他のコンピュータにコピーして広める。
バックドア活動
任意のIRCサーバに接続すると、IRC経由で外部からリモートコントロールできるようになる。これによりハッカーは、リモートコントロールでファイルの転送/実行、OS情報の取得、DoS攻撃、プロセス停止、キーロガー活動などが可能となる。
情報漏洩
ソフトウェアのCDキーやパスワードなどを盗む。

表4:BOTのウイルス活動

   BOTウイルスは感染したコンピュータ同士で同調して通信活動を行い、この活動をBOTネットワークという。BOTネットワークは、スパムメールの中継や特定のサイトへのDoS攻撃や情報漏洩などに利用され、感染していないコンピュータにも被害を与える。

   通常のウイルスとBOTウイルスは「発病する=ウイルス活動を行う」タイミングが異なる。ウイルスはあらかじめ活動する日時をウイルス内に埋め込まれており、その設定されたタイミングで発病するものや、感染後すぐに発病するものが多い。しかしBOTウイルスは外部からの操作が可能であり、一般的には感染後から次の指示がでるまで潜伏し、外部からの指示を受けてはじめて発病する。

   BOTウイルス同士がネットワークを構成している場合には、図2のように外部からの指示によって、感染PCがネットワークを通じて一斉にウイルス活動を開始する。この指示がDoS攻撃の場合、特定のサイトに対して一瞬にして大量のトラフィックを伴う攻撃を実行することが可能になる。

BOTネットワーク
図2:BOTネットワーク

   一度BOTウイルスに感染してしまうと、知らぬ間に自分でBOTを作り、多くのコンピュータを感染させてしまう。ウイルス感染した何千、何万というコンピュータを1つのBOTネットワークとして組織させてしまうと、巨大なネットワークをこっそり自分のものにされてしまう。

   それができてしまえば、図3のように迷惑メール配信業者からの依頼でBOTネットワークを利用して迷惑メールを中継したり、テロリストからの依頼で特定の標的にDoS攻撃を仕掛けるといった脅迫犯罪に協力することすら可能といえよう。そのことに注意を促す動きはすでにはじまっており、日本でも今年の1月に警察庁から「BOTネットに注意」という警告が発せられた。

スパムメールの踏み台にされるゾンビPC
図3:スパムメールの踏み台にされるゾンビPC

   雛型となるコードや改良するためのツールがインターネット上で手軽に入手できることが、BOTウイルスをはじめとした最近のウイルスにおける傾向の1つとしてあげられる。特定のセキュリティホールを攻撃するコードやウイルスプログラム本体、ウイルスの圧縮形式を変えて変更を加えるためのツールを誰でも入手できるWebサイトも存在する。

   ウイルスプログラム本体とウイルスを改良するツールさえ入手できてしまえば、特別な知識や技術がないユーザでも、比較的容易に新たなウイルスを作成することができてしまう。BOTウイルスはすでに1万種類以上の亜種が存在しており、今なお増えつづけている。

   またBOTウイルスの中には、悪意をもつ個人もしくはグループが特定のターゲットを狙ってBOTを忍び込ませたケースとして、特定のユーザからしか報告がないものもある。このことから、以前に比べてウイルスの作成がコンピュータの素人にも身近なものになり、より多くのユーザがウイルスを作成していると考えられる。
前のページ  1  2   3  4  次のページ

トレンドマイクロ株式会社 黒木 直樹
 著者プロフィール
トレンドマイクロ株式会社  黒木 直樹
トレンドマイクロ株式会社 上級セキュリティエキスパート
1996年トレンドマイクロ株式会社入社。
ウイルス対策ソフト「ServerProtect」をはじめとする法人向け製品のプロダクトマーケティングを経て、製品開発部の部長代行に就任(2000年)。個人・法人向け全製品の開発においてリーダーを務め、同社のビジネスを支える主力製品へと成長させる。アウトソーシングサービス事業の立ち上げた後(2001年)、2002年にコンサルティングSEグループ兼インテグレーショングループ部長に就任。営業支援のシステムエンジニア、テクニカルコンサルタントを率い、情報セキュリティ全般にわたりプロジェクトを推進する。
INDEX
第4回:最近のウイルスの特徴とその傾向
  ウイルス被害レポートを読む
BOTとは
  BOTの具体例
  トロイの木馬