インターネットにおけるデータ窃盗
INTERNET DATA THEFT
増強する脅威、ゾンビコンピュータによる攻撃
Attack of Zombie computers is growing threat
INTERNET DATA THEFT
増強する脅威、ゾンビコンピュータによる攻撃
Attack of Zombie computers is growing threat
ジョン・マーコフ 著
By John Markoff
By John Markoff
より悪賢くなった「ボットネット(botnets)」は、企業や個人データを盗み出し、オンラインの銀行口座や株式売買取引市場から金をかすめ取るために、世界中のコンピュータを密かにネットワーク化している。ボットネット・プログラムは現在、インターネット接続されている6億5千万台以上のコンピュータの約11%に存在していると言われている。
悪党たちは、インターネットの防御壁に侵入しようと絶えず試行錯誤しながら、攻撃手段に日々磨きをかけ、その破壊力を増大させている。
犯罪者は一層洗練された手段を用いて、あるプログラムを悪用し、何百どころか何千もの個人PCに密かにボットをインストールし、それらPCをネットワーク化し、無意識のうちにゾンビ攻撃隊に統合する。そしてインターネット犯罪に、その竜騎兵(dragoon)ネットワークの結合力を利用する。
ボットネットと呼ばれるこれらのシステムは、不正行為・データ盗難に加えて、ここ最近、インターネット・ユーザーの頭を痛めているスパムの大規模攻撃の先鋒として非難を浴びている。
ウイルスや不正プログラムの影響力を自動化し、増幅するボットネットに関して、セキュリティ調査員たちは、ここしばらく、懸念を抱き続けている。
ボットネットが他と比べ異質な点は、その驚異的な増加速度を伴う拡張性、そして、オンライン銀行口座や株式売買取引市場から現金を引きだすために、PCから企業・個人データのような特定情報をスキャンできるプログラムの精密性である。
「これは完全犯罪です。つまりロー・リスク、ハイ・リターンなのです。」イスラエルを拠点とするビヨンド・セキュリティ社(Beyond Security)のコンピュータ・セキュリティ・リサーチャーであるガディ・エブロン(Gadi Evron)はこう述べる。彼はボットネットと戦うための国際的な、ボランティア的取り組みをコーディネートしている。「我われはインターネットを安全な場所にするための戦いには、ずいぶん前に敗北しています。そして、今は何をすべきかを考えるときなのです。」
東京を拠点とするコンピュータ・セキュリテイ会社トレンドマイクロのチーフ・テクノロジー・オフィサー、デイビッド・ランド(David Rand)によると、昨春、運行計画を含むドキュメントを探知し、それらを中国にあるEメール・アドレスに組織的に転送していたプログラムが海外の海上保安庁で発見された、という。しかし、被害者は顧客という理由で、国名まで言及できないと、彼は述べる。
全体的な感染率については様々な推定があるが、ボットネット・プログラムの規模と、その影響力は確実に測り知れないものになってきている。ボットネット・コントロールに専門性がある新興企業ダムバラ(Damballa)の共同設立者で、ジョージア工科大学(Georgia Institute of Technology)の研究員でもあるデービット・ダゴン(David Dagon)によると、インターネット接続している6億5千万台以上のPCの約11%に、ボットネット・プログラムが存在するという見解は科学者の間で一致している、という。
僅か6万台のPCがインターネット接続していた1988年以来、ウイルスや不正なプログラムによる被害は、インターネットを介して周期的に蔓延し続けている。その度に、PCのセキュリティ・マネジャーやユーザーは、受けたダメージを修復したり、システムのセキュリィ・ホールにパッチを充て続けている。
しかし昨今では、そのような攻撃はますます広範囲に広がってきており、一層厳格なセキュリティへの対応が迫られてきている。そして、ボットネットの登場により、セキュリィ専門家だけではなく、初期のインターネットのインフラを構築した専門家にも警告を発した。
「これはまさに脅威そのものです。しかし、その実態を説明するのは簡単ではありません。」インターネットのパイオニアの一人であるカーネギーメロン大学のコンピュータ科学者、デービット・J・ファーバー(David J. Farer)は言う。「これは潜行性の脅威です。また懸念しているのは問題の範囲が、まだ大半の人にとって明確でないことです。」 ウィンドウズPCに触れ、彼はこのように付け加えた。「普及型のPCに侵入するのはとても簡単なので、恐ろしいのです。」
リナックスやマックOSのPCへのボットネット関連の攻撃事例は、散在的に報告されているが、ボットネット感染はこれまで圧倒的にウィンドウズPCだけに集中してきた。ボットネット・プログラムは大抵、東欧や世界各地のコード・ライター(code writer)の小規模グループによって作成されている。また、そのプログラムはEメール添付、マルウェア(malware:ウイルスやワームなどの「悪意のこもった」ソフトウエアのこと)だということに気付かないユーザーによるダウンロードなど、様々な形式でばらまかれている。ボットネット・プログラムはオンライン・オークションサイトで販売されている海賊版ソフトの中にすら存在する可能性がある。ボットネットは、一度インターネット接続されたPCにインストールされてしまうとすぐ、広く普及しているInternet Relay Chat(I.R.C.)と呼ばれるコミュニケーション・システムを使って、コントロールが可能になる。
ボットネットの活動をモニターするコンピュータ・セキュリテイ専門家のボランティア組織であるShadowServerは、現在40万台以上の感染PCと、別の場所に存在する約1,450のCommand & Control サーバーと呼ばれるI.R.C.コントロール・システムの動きをトラッキングしている。傍受した200メガのファイルに含まれていた情報を分析した、あるセキュリティ・リサーチャーが昨夏発表したテクニカル・レポート(technical report)には、金銭的な脅威にさらされている例が挙げられていた。そのファイルは、あるボットネットが作成し続けていた。そのボットネットは盗んだ情報を組織的ぐるみで集積し、ボットネット・マスター(管理者)がデータを読み出せるよう秘密の場所に格納していた。
サンフランシスコを拠点とし、企業や連邦政府関連機関にセキュリティの脅威に関する情報を販売するサポート・インテリジェンス社(Support Intelligence)のチーフ・エグゼクティブ、リック・ウェッソン(Rick Wesson)によると、ファイル内のデータは30日間で、収集されていたと言う。そのデータは793台の感染PCから収集され、54,926のログインに必要な情報と281のクレジット・カード番号情報を含んでいた。彼によると、盗まれた情報は35の株式売買口座情報と86の銀行口座、174のe−コマース口座、245のEメール・アカウントを含み、結果1,239の企業に影響を与えたという。
ウェッソンの会社で収集した探知情報(sensor information)によると、現在、毎日25万以上のボットネット感染が検知されている。「我われは(ボットネットとの)戦いに惨敗しています。」彼は言う。「ベンダー企業でさえ、我われが、この戦いの敗者であると気づいているのです。」
NY拠点のコンピュータ・セキュリテイ関連企業メッセージラボ(MessageLabs)の年次情報報告書によると、全スパム・メールの80%以上はボットネットに端を発すると報告している。先月、コンピュータ・セキュリテイ会社トレンドマイクロが管理するランク付けシステムは、単体のインターネット・サービス・プロバイダー(以下ISP)が初めて、24時間で10億以上のEメール・メッセージを生み出した、と報告した。一つのコントロール・ポイントを使って顧客PCにスパムを次々と送信させる事が可能であり、ISPの顧客PCは巨大なネットワークの中に組み込まれていることを示す例となった。
密かにPCをボットネットに追加していくプログラムの出現により、ここ何ヶ月か、ボットネットの脅威が及ぶ範囲について声高に叫ばれてきた。セキュリティ・リサーチャーたちが「ラストック(“restock“)」と呼ぶ最新版のボットプログラムは、インターネット接続環境にある何千何百ものPCに感染し、その後「株価操作(“pump and dump”)」手口としておびただしい数のスパム・メールを作りだした。
インターネット技術の(オンライン)ディスカッショングループで活躍し、ジンバブエ在住と称する「ラストック」作成者は、それまで不正プログラム検知に使用されていた伝統的な電子指紋の痕跡を全く残さず、感染プログラムをPCに隠匿する方法を見いだした。
さらに、「ラストック」は現在スパムをばら撒くために使われているが、同時に多くのインターネット上の不正な活動に使用できる一般的なツールとしても知られている。
「“ラストック”は他のタイプのマルウェアとしても利用可能です。」アトランタ拠点のコンピュータ・セキュリテイ企業セキュアワークス社(SecureWorks)のリサーチャーであるジョー・スチュワート(Joe Stewart)は言う。「それは非常に巧妙に自らを隠す機能を備えたペイロード・デリバリー・システムにすぎません。」(ペイロード(payload)とはデータのこと)
先月、スチュワートは一連のスパム・メールで喧伝されていた、少額の株の取引をトラッキングしていた。12月15日、8セントで取引されていたダイヤモンド・アート社(The Diamant Art Corporation)の株価は、11,532,726の株が絡む小規模な売買取引が繰り返された結果、11セントまで押し上げられた。その日、金曜日の取引が終わった後、あるボットネットが何百万ものスパム・メールを吐き出し始めた、と彼は言う。
その次週の月曜日、ダイヤモンド・アート社株は1株当たり19セントに上げ,そのまま25セントの終値を記録した。もしスパマーが、購入した株を月曜の最高値で売却していたら、2万米ドルの利益を得ていただろうと、スチュワートは推測する。(12月20日までに、株価は12セントまで落ち込んだ)
コンピュータ・セキュリテイの専門家たちは、ボットネット・プログラムの進化の速度にセキュリティ会社が対応することができていない、と警告する。そして、その進化速度による脅威は、インターネットの商業的利用の今後に根本的な脅威を投げかけている。問題は複合的である、と専門家たちは言う。というのも、多くのISPはこの問題を無視、または過小評価しているからだ。「これは科学、政策の観点、そして最終的には社会にとって大きな危機です。しかし、誰もその責任の所在ついては議論したがりません。」サンディエゴ・スーパーコンピュータ・センター(the San Diego Supercomputer Center)の熟練インターネット・リサーチャーのK・C・クラフィ(K. C. Claffy)は言う。
60億米ドルのコンピュータ・セキュリテイ市場は、ネットワーク・オペレーター、企業、個人のPCユーザーを対象とした商品やサービス群を次々と提供している。しかし、ボットプログラムとの戦いにおいて、コンピュータ・セキュリテイ業界は、これまではお粗末な実績しかない、とコンピュータセキュリティ・リサーチャーはいう。
「これでは山に墜落する確率がいかに低いか、を宣伝する航空会社と違いはありません。」ジョージア工科大学のリサーチャー、ダゴンは言う。
電子指紋をトラッキングし、マルウェアを検知するソフトを打ち負かす「悪玉」ハッカーによって、悪質なソフトは常に精緻化されている。例えば、「最近閲覧したドキュメント検索機能」のようなウィンドウズOSの特徴を悪用するボットネット・プログラムの存在が確認された。ボットネット作成者たちは、最近使った個人ドキュメント類もデータ盗難の対象として有用であると想定している、とダゴンは述べる。
デンバーの営業ウーマン、セリー・ウィンカー(Serry Winkler)は、ウィンドウズ98のPCがまるでカタツムリのような鈍い動作状況になるため、ISPからもらったネットワーク・セキュリティ・ソフトをオフにしていた、という。数ヶ月前、4人の郡保安官がアパートのドアを叩き、彼女のPCを押収した。そのPCから盗難クレジット・カードを使いシアーズ(Sears)に商品注文が出されたと、彼らは告げた。最終的には侵入者が遠隔操作で、彼女のPCに命令を出していたことが判明した。
「私はここに6年間住んでいる中年の独身女性です。」彼女は言う。「私がテロリストのように思えますか?」
もっと最新型のPCを購入するつもりだ、と彼女は我われに言った。
| ジョン・マーコフ(John Markoff)は、ニューヨークタイムズのテクノロジー・ライターである。 |
2008 ACFE JAPAN, All rights reserved.