エキスパートに聞く:ヴィタリー・カムリュクがDDoSとボットネットを語る

2015年7月6日

ヴィタリー・カムリュク(Vitaly Kamluk)は、ITセキュリティ業界で10年以上の経験を積み、現在はKaspersky Labでプリンシパルセキュリティリサーチャーの職に就いています。専門は、マルウェアのリバースエンジニアリング、コンピューターフォレンジック、サイバー犯罪捜査です。カムリュクの現在の住まいはシンガポール。インターポールのDigital Forensics Labのメンバーとして、マルウェアの解析や捜査の支援に携わっています。

Kaspersky Daily(当ブログ)は、読者の皆さんからカムリュクへの質問を募集しました。非常に多くの質問が寄せられたため、このインタビュー記事は何回かに分けてお届けします。今回カムリュクがお答えするのは、DDoSやボットネットに関する質問です。

5万台超のゾンビコンピューターで構成される大規模なボットネットは、世界にどのくらいありますか?

20未満でしょうか。あくまでも推測にすぎませんが。ボットネットの実際の規模は、閉鎖後にわかるのが普通です。犯罪者はできるだけ多くのコンピューターに感染させようとしますが、同時に、ボットネットの規模を一定の水準以下に保ってレーダーに引っかからないようにしている可能性があります。

スマートフォンやPCMacで構成されるクラスターの作成を目的とした高度なボットネットはありますか?

感染したPCとスマートフォンの両方でボットネットが構成されている場合もあります。Zeus-in-the-MobileとPC向けZeusが良い例です。Macのボットネットもありますが、僕たちの経験ではほとんどがスタンドアロンです。

ボットネットをどのように検知しているのですか?どこから手を付けるのですか?マルウェアやボットネットについて最新の動向を教えてください。

まず、ディスク上の不審なプロセスやファイルを検知するところから始めます。次に、そのオブジェクトを分析して、指令サーバーのリストを見つけ出します。それから、プロトコルを突き止め、C&Cからアップデートを定期的にリクエストします。

最近のマルウェアやボットネットには、信頼性の高い制御メカニズムを探す傾向が見られます。TorやP2Pの通信をベースにしたメカニズムなどです。このトピックに関しては、記事やホワイトペーパーが数多くあります。最新の動向については、まず「Tor ボットネット」をWebで検索してみてください。

ボットネットを無害化するにはどうするのですか?

ボットネットの所有者を捕まえるのが一番です。ボットソフトウェアやエクスプロイトキット、パッカーの配信者と開発者を一網打尽にできれば、なお良しですね。

ボットネットは世界のどの地域から発生しているのですか?ボットネットソフトウェアの開発に使われているプログラミング言語は何ですか?自分のシステムがボットネットに感染していないことを確認するにはどうすればいいでしょうか?想定外の状況下でサイバー攻撃を無効化できなかった場合、第2の防衛線はありますか?

ボットネットはあらゆるところに存在し、どのプログラミング言語でも自由に使用できます。自分のシステムがボットネットに組み込まれていないことを確認するには、アンチウイルス製品でシステムをスキャンし、ネットワーク通信を確認してください。異質なものがないこと、想定外の通信が行われていないことを確認するのが大切です。

第2の防衛線についてですが、残念ながら、現在のコンピューターシステムの構造は、第2の防衛線を張る仕様にはなっていません。そこで、コンピューターシステムの所有者ひとりひとりが対策をとらねばなりません。しかし、脅威をリモートで無効化する行為はネットワークへの侵入とみなされ、違法である場合がほとんどです。いったん不正アクセスを受けたシステムは、結局のところ全面的に再インストールが済むまで信頼できない状態となりますから、事態は厳しいですね。金銭的な被害が出始めるまでコンピューターの感染に無頓着なシステム所有者は、多いです。

最近のボットネットもIRC経由で制御されているのですか?ボットネットを駆除するには、ボットネット所有者からボットネットを制御する能力を取り上れば十分ですか?

犯罪者はさまざまな方法でボットネットを制御できます。IRCは数あるアプリケーションプロトコルの1つでしかなく、それなりの長所や短所がありますが、時代遅れの手段であることは明らかです。最近のボットネットは一般に、HTTPを使って構築されています。

ボットネットを確実に駆除するには、所有者を見つけて捕まえる必要があります。これこそ、まさしく僕たちがインターポールと協力して取り組んでいることです。ボットネットを制御する能力を所有者から取り上げようとしても、効果は長続きしません。ほとんどの犯罪者はこの種の妨害に準備万端整えているからです。

DDoSの計画を検知したときには、どのようなツールや手段が適していますか?顧客のシステム、ISP、地域、国、多国籍のISPなどさまざまな状況を考慮する必要があると思いますが。

そうですね、顧客のシステムから大規模ISPまで対応できる最強のツールは、やはり効果的なフィルタリングでしょう。しかし、フィルターを実装する前に、まず脅威を調査する必要があります。そのためには、DDoSの実行役を担当するボットを特定し、注意深く分析しなければなりません。決定的な解決策は、ボットネットの制御メカニズムを掌握して中枢から止めることですが、それはまた別の話です。

増幅型のDDoS攻撃による影響を抑えるにはどうすればいいですか?

攻撃対象を地理的に分散し、何層ものフィルタリングを実装してください。

自分がボットネットやBitcoinマインの一部になっているかどうかはどうすればわかりますか?

システムでマルウェアの有無をチェックしてください。ユーザーの許可もなくBitcoinを採掘したり、PCをボットネットの一部に組み込んだりするのは、マルウェアです。マルウェアの有無をチェックするには、以下のような方法が効果的です:

  1. 信頼できるアンチウイルス製品を使ってシステムをスキャンします。これでかなり時間が節約されますが、自動スキャンを100%信頼できるとは思わず、常に注意してください。
  2. プロセスリストをチェックして、不審なゲストや招待していないゲストがいないか確認します。コンピューターを利用する人は、自分のシステムで実行されているプロセスをすべて知っておくべきだと僕は思います。
  3. 自動起動されるプログラムのリストをチェックします。Windows向けにはSysinternalsのAutorunsという無料のアプリケーションがあります。
  4. 最後に、さらに詳しいチェックを行います。使用しているコンピューターを(インターネットに接続されている)別のコンピューターに接続して、双方のネットワークトラフィックをすべて記録するのです。これで、不正侵入されたシステムからは認識されない不審な活動が明らかになるはずです。

近いうちにその他の質問にもお答えします。お楽しみに!