最近のサイバー犯罪者はデータセンターを利用する(--〆)

大手セキュリティ・ベンダーのKaspersky Lab は、ボットネット構築コードを作成してばら撒く犯罪組織の間に、物騒な傾向があることを明らかにした。


連中は、個人のパソコンに依存するだけでなく、データセンターの手続きの抜け穴や緩さにつけこんで活動の場を広げつつあるという。


このボットネットは、ある種の悪質プログラムに感染したパソコンの集合体のことをいう。


つまり、、悪質プログラム(=以下、ボット)に感染した個人所有のパソコン群のことだ。


そして、このボットに感染したパソコンのことを“ゾンビPC”もしくは単に“ゾンビ”と呼ぶのである。


そのゾンビPCの集団ボットネットなのだ。



では、どのようにしてボットに感染するのかというと・・・。


1セキュリティの事などお構いなしに何も考えず迂闊にも不正な Web サイト(←不正なサイトの入り口に利用されるのは大抵アダルトサイト)にアクセスすることで感染。


2見知らぬ人(時には友人・知人の場合もある)から 送りつけられた電子メールにあるリンクをクリックし、適切なマルウェア対策を施していないばかりに感染。


という2種類の感染方法が考えられる。



こうして侵入したボットパソコン内に隠れ、密かに自分の仕事をこなす(=この状態をボット化という)。


感染したパソコンは、毎日数百通のスパム メッセージ(=ウイルスが同梱された迷惑メール)を送り出す。


また、各種サーバーへのDDos攻撃(=サービス不能化)に利用されることもある。


ボット化したシステムのほとんどは個人のパソコンであったのだが、最近ではその状況も変わっている。


なぜなら、各セキュリティ・ベンダーによって、企業のパソコンも知らないうちに感染していることが判明しているからだ。



ところが、各セキュリティ・ベンダーや ISP(=Internet service provider:インターネット・サービス・プロバイダーの略称) は、これらの戦略に賢く対処するようになってきた。


要するに、ボットの駆逐ペースが速まり、ボットネットは従来ほど長く存続できなくなってきたのだ。



このため、サイバー犯罪者たちの目は商用データセンターへ、その活動の場を移行し始めている。


これは一見、敷居の高い話のように思えるが、商用データベースの殆どは利用手続きが甘く、その管理者に至っては余裕がないという状況が多い。


これらのセキュリティの甘さを利用し、サイバー犯罪者どもは自分たちの仮想データセンターを正規のデータセンター内に構築するということを始めたということがKaspersky Labの調査で判明している。



Kaspersky Lab のセキュリティ エバンジェリストで、同社の公式 Blog『Threatpost』の編集者も務める Dennis Fisher 氏が21日に投稿した記事によれば、これらのサイバー犯罪者たちはパソコンを購入し、ホスティング プロバイダ(=hosting provider:メールサーバー、Webサーバー、ファイルサーバーなど各種サーバー等の運用管理を行うプロバイダ。インターネットにつなぐ場合はIPアドレスやドメイン名の取得代行も行う場合がある)のサーバー内にスペースを借りることさえ行うのだという。


そして犯罪者らは、自ら設けたパソコンに大量の IP アドレス(=IP address:インターネットに接続されているコンピューターを識別するため、各コンピューターに割り振られる32ビットの数字列。インターネットに接続したコンピューターにはすべてIPアドレスが割り振られる。実際には、32ビットを8ビットずつ4つの部分に区切り、その区切り単位で10進数に置き換えて用いる)空間を割り当てるのである。



このボットを利用したと思われるサイバー事件が実際に発生している。


米国時間の12月23日夕、米西海岸のDNSプロバイダー(=domain name system provider:インターネットに接続しているコンピューターの識別番号「IPアドレス」と、人間が分かりやすいように付けた名前「ドメイン名」を相互に変換する機能を提供するインターネット上のサーバーを管理するプロバイダ)が攻撃を受け、米AmazonやSalesforce.comなどのサービスに一時的な障害が発生した。

Amazon WebサービスのStatusページによると、米太平洋時間の23日午後5時から6時ごろにかけてDNS解決障害が発生し、米西海岸の一部顧客に影響が出た。いずれも同6時半過ぎには解決している。

Salesforce.comは、米太平洋時間の午後4時45分ごろ、一部ユーザーが同社のサービスにアクセスできなくなったと報告。

原因は、同社が利用しているDNSサービスプロバイダーが大規模なDDoS(サービス不能化)攻撃を受けたためで、その後プロバイダー側で対応し、間もなくサービスは全面復旧した。

データセンター業界情報サイトのData Center Knowledgeによると、攻撃を受けたのはDNSプロバイダーのUltraDNSで、AmazonやSalesforceのほかにもWalmart.comなどの大手サイトに影響が出たという。



これらの事象からも分かる通り、大手企業でも攻撃を受け、一時サービスを停止しなければならなくなるほどの障害が発生するのである。


個人のパソコンに侵入されたら、サイバー犯罪を行うための踏み台にされる事くらい知っておくべきである。


だからこそ、セキュリティに関心を持ち、対策を施す事が重要なのである。