「bot、botnet(ボット、ボットネット)」カテゴリーアーカイブ

不正アプリやリスク高のアプリ、200万が狙うモバイル端末

最新の調査によると、
モバイル端末を狙う不正アプリやリスク高のアプリが
200万を越えたようです。

その背景には、匿名で通信するボットが使われているようです。
初めて携帯端末機がインターネットアクセスを始めて、約13-4年。

利便性は高まるけれど、一方で、このような悪意のあるアプリが
蔓延していることに、もっと注意が必要ですね。

「Torボット」:匿名で通信する

匿名通信システム「The Onion Router(Tor)」は、
ユーザが「匿名」で通信できる方法として知られています。

また、Tor はアンダーグラウンド市場とつながっていることでも知られており、
サイバー犯罪者は不正なモバイル端末の不正活動を隠すために Tor を利用しています。

「ANDROIDOS_TORBOT.A」は、リモートサーバに接続するために
Tor を利用した最初の Android端末向け不正アプリです。

一度接続すると、電話をかけたり、
「SMSのメッセージ(以下、テキストメッセージ)」を妨害したり、
読んだり、特定の番号へ送るなどの不正活動を行います。

Torネットワークを利用することで、
不正活動やコマンド&コントロール(C&C)サーバへの追跡がさらに難しくなります。
 出所 Technical Communications 

あなたは感染しているかもしれません(あのBotに)

あなたの知らないうちに、あなたのパソコンに侵入し、
静かに感染を広げていくのがボットウイルスです。

だから、もう、あなたは感染しているかもしれません。
しらないだけ。

そんなことが起こるのです。

インターネットを通じて悪意ある者に簡単に操作され、
あなたのパソコンが他人に大量の迷惑メールをばらまいたり、
特定のサイトを攻撃したりします。

これが先月話題となった遠隔操作ウイルスの姿です。

操作していない時に、ネットワークに頻繁にアクセスしていることを示す、
ランプが点灯しえいませんか。
ハードディスクをアクセスしていることを示すランプがついていませんか。

ボットネットとは何だろう
ボットウイルス(ボットネットウイルス)は、
コンピューターを悪用することを目的に作られた、
悪意のあるプログラムです。

感染すると、
外部から遠隔操作され「迷惑メールの大量配信」、
「特定ホームページへの攻撃」など犯罪行為を行います。

あなたのコンピューター内の情報を盗み出されるだけでなく、
あなたが知らないとしても、
加害者として、実際に迷惑行為を行なっているわけです。

これらの流れが、
ロボット(Robot)の操作と似ているので、
ボット(BOT)ウイルスと言います。

ボットに感染したパソコンがあると、
同じネットワークに接続された他のパソコンに
感染が拡大するリスクが高いので、危険です。

ボットに感染すると、
指令サーバーからの攻撃命令を受信します。

その命令に従って、
利用者のコンピューターが迷惑メールの大量送信元や、
特定ホームページへのDOS攻撃(一斉にアクセスしてダウンさせる)に利用され
加害者になってしまう危険性もあります。

このように、
ボットネットは、利用者が気付きにくいので要注意です。

パソコンを遠隔操作されない工夫

パソコンを遠隔操作する機能は、
例えば、トラブルの解析診断に使うと、とても役立つ機能です。

しかし、ウイルスに感染させたり、
今回の一連の事件では、脅迫メールの送信や書き込みのように
パソコン利用者が意図しない動作のように、
悪用されてしまうと、犯罪や社会的な迷惑行為を引き起こします。

影響範囲は、操作されたパソコンだけでなく、
そのパソコンが引き起こした行為が、犯罪となってしまうため、
パソコン所有者や利用者が、加害者となってしまうわけです。

パソコンを利用する限りは、
自分のパソコンを遠隔操作されないように、
管理するという責任が、これからは厳しく問われるようになるのでしょう。

自己防衛の基本は、
1.OSが最新版、セキュリティパッチが適用されている
  (Windows Updateが確実に実施されている)
2.ウイルス対策ソフトが最新版のパターンファイルに更新されて常駐している
3.ハードディスクや使用するUSB接続の各種機器や媒体が、定期チェックされている
4.ネットワークに接続する場合に、
  セキュリティ機能を持つファイアウェール、ルーターなどを使用する

これまで、1,2,3について、必須事項として紹介してきましたが、
ボット感染予防やボットからの攻撃対策を考えると、
すでに4も必須の時が来ているようです。

関連記事 ボットネットが発見された
     パソコン遠隔操作事件に利用されたBOT

パソコン遠隔操作事件に利用されたボット

パソコンを遠隔操作して、脅迫メールを送りつけるという現状に対し、
誤認逮捕の側面が強調されて報道されています。

セキュリティの観点では、誤認逮捕された人権問題も重要ですが、
はやく、その原因となった遠隔操作に利用された拠点や
関連サーバの特定を急がないと、
今後も類似の事件が発生してしまいます。

どうもボットネットが利用されているために、
追跡や解析が難しいため、こうも時間がかかっているように思えます。

報道では、
以前から存在していた遠隔操作ウイルス、
というのは、
ボットあるいは、より感染範囲や影響の大きいボットネットが利用されているようです。

ボットネットなら、もともと発見されたいように武装したウイルスの一種です。

この原因解明は、そう簡単にいかない。
困ったものです。

botnet(ボットネット)が発見された

ドイツのウイルス対策ベンダーの研究者が、
botnet(ボットネット)の一部解析に成功したようです。

身元を秘匿化する「Tor(The Onion Router)」ネットワーク内で稼働する
IRC(Internet Relay Chat)サーバからコントロールされているボットネットの存在を確認した。

 ボットは、自動的に遠隔操作するためのプログラムから名付けられたようですが、
悪意のもとに実行すれば、ウイルスとなんら変わりはない、悪質プログラムとなり、
最近では、ウイルスと同様とみなされる場合が多いようです。

 複数のボットがより影響範囲を広げるようになると、ボットネットと呼ばれます。

 ボットネットは、ウイルスに感染して、
攻撃者が自由に操作できる感染PCグループなので、
数千台、数万台以上のパソコンが、無意識にコントロールされて
攻撃の準備をしているわけです。

 現実の世界には、暴力団の組織、マフィアの組織など、
裏社会で活動する組織がありますが、
コンピュータネットワーク上で暗躍する電子版の暴力団です。

 ボットによる攻撃は、これまでにも何度も報告されていますが、
実はその存在が確認されることはまれでした。

 それだけボットネットを追跡することが難しい理由は、
暗号化されて巧妙に実を隠す仕組みで運用されているからです。

 犯罪者は、自分の存在がばれないように、実を隠すし、
その存在や犯行の証拠も隠す、あるいは消してしまいます。

 Torは、インターネット利用者が匿名で、発信元や中継拠点のアドレスなども
隠すことができるので、ステルス戦闘機のように発見することが難しくするソフトだそうです。

 ドイツ語のTorは、サッカーのゴール。
 つまり、Tor(The Onion Router)という名前も、
標的であるターゲット(ゴール)をかけ合わせた隠語のようです。