現在地 HOME > 掲示板 > IT1 > 369.html ★阿修羅♪ |
|
(回答先: PCをポルノサイト誘導に利用するトロイの木馬 投稿者 クエスチョン 日時 2003 年 8 月 19 日 22:26:09)
この記事の中で注目箇所は下記、
> 防御されていない家庭用コンピュータのユーザーはすべて、中でも常時
>接続のブロードバンド接続状態にあるユーザーは特に、パーソナルファイ
>アウォールを設置すべきだとスミス、スチュワート両氏はアドバイスして
>いる。
>
> ファイアウォールソフトウェアはMigrafがインストールされるのを防止
>できなくても、感染したコンピュータがスパマーのマスターサーバに対し
>て情報を送り、スパムやポルノサイトの配給元になるのは防いでくれると
>いう。
PCをポルノサーバの中継サーバに変身させるトロイの木馬は「追跡困難」
http://www.zdnet.co.jp/enterprise/0307/14/epi01.html
常時接続されたPCをポルノサーバへの中継に利用するトロイの木馬プログ
ラムが発見された。現在、ウイルス対策会社が定義ファイルを開発中だが、
ファイアウォールによる自衛以外に打つ手がないのが現状だ。
セキュリティ専門家の調べによると、ロシア在住のスパム業者が、ステ
ルス型の高度な新しいトロイの木馬プログラムを使い、家庭用ワークステ
ーションを無意識のうちにポルノグラフィとスパム配布の輪に加担させよ
うとしている。
セキュリティ管理サービス会社であるLURHQの上級侵入アナリストであ
るジョー・スチュワート氏によれば、この偽装・犯罪性行為が専門家の目
に留まったのは6月末のことで、最近になってBBS上でスパム対策担当者た
ちの話題に上っていたという。
偽装したPayPalのWebサイトとロシアのポルノグラフィサイトへのリン
クが張られたスパム業者を観察したところ、このサイトは数分毎に自分の
サイトのWebアドレスを変更できたようだと、インターネットセキュリテ
ィとプライバシーのコンサルタントであるリチャード・スミス氏は指摘す
る。
スミス氏は7月初め、PayPalを偽装したポルノサイトにリンクされた電
子メールメッセージを調査中に、この問題に遭遇した。PayPalはオンライ
ン支払いの顧客情報を取り扱うサイトである。
スミス氏は、このポルノサイトのアドレスをそのサイトをホストしてい
るISPに連絡した後で、同じWebのドメインが数分後には別のISPの異なる
インターネットアドレスに置き変わっていることに気づいた。さらに2、3
分後には別のアドレスに移っていたのだ。
「うへえ、こいつは面白い、と思った」とスミス氏は語る。
PayPalの偽ドメインを使ったポルノグラフィサイトを追跡するプログラ
ムを書いた後で、スミス氏は違法なコンテンツとして使われた数百のコン
ピュータのIPアドレスを集めたが、いずれも数分間しか使われていなかっ
た。
このトリックは、リモートシステムに置かれ、スパマーが使用している
高度なトロイの木馬プログラムによるものだとスチュワート氏は指摘する。
同氏はLURHQの企業顧客のある従業員のシステムがこのプログラムに感染
しており、そこからプログラムを入手した。
スチュワート氏はこのプログラムを“Migmaf”と名付けている。Migmaf
は、偽装されたポルノグラフィックコンテンツを掲載しているWebサイト
のマスターに対するスパムのプロキシサーバとリバースプロキシサーバと
して動作する。
このポルノサイトのドメインネームと電子メールアドレスはロシアが発
信源となっているとスミス氏は指摘する。
プロキシサーバの機能では、ソースから受け取り手に向けてスパムをフ
ォワードし、ソースのアドレスを自分のIPアドレスに置き換え、スパマー
の痕跡を消す。
リバースプロキシサーバ機能としては、スパムの受け取り手がポルノサ
イトへのリンクをクリックするなどした情報を受信すると、その情報をマ
スターとなっているWebサーバに送信する。サーバは要求されたWebページ
をクラックされたコンピュータに送り、サーバとして利用する、とスチュ
ワート氏は説明する。
ユーザーはコンテンツがどこから送られてきているのかを知ることはで
きず、WebサイトのオーナーはISPからサイトを閉鎖するよう要求されるこ
ともないと、スミス、スチュワートの両氏は述べる。
スパムの犠牲となっているコンピュータの管理者は、こうした不正使用
にいずれは気づくはずだが、それぞれのマシンが不正サイトのDNSホスト
として使われるのはわずか10分間で、次はスパマーの標的となった別のコ
ンピュータに置き換えられる、とスミス氏は説明する。
Webのリソースを継続的に移動させるため、スパマーはDNSソフトウェア
をクラックされたマシンにインストールし、このコンピュータを専用DNS
サーバに仕立て上げる。次にDNSの機能を使い、スパマーはIPアドレスと
ドメイン名の関係を記述する“host name mappings”の有効期限を設定す
る“time to live”を短い時間で更新するように変更する。
Network Solutionsなどのオンラインドメイン登録サービスと自動化さ
れたスクリプトを使い、スパマーはホストマッピング情報を一定時間でア
ップデートし、DNSアドレスを次々にクラックされたマシンに切り替えて
いくのだとスミス氏は解説する。
これは、IPアドレスのブラックリストに掲載されるのを避けたいスパマ
ーにとって魅力的なテクニックだと、スパム対策会社であるQurbのスパム
専門家であるリーナス・アップソン氏は解説する。
「スパマーは、スパムをきちんと人々のメールボックスに届けることに
気をつかう。この方法は、広く使われているスパム対策法の多くを無効化
してしまう」とアップソン氏。
また、詐欺に関係しているスパマーは、スパムのソースを隠すことで、
逮捕をまぬかれることができる、と同氏。
スチュワート氏もスミス氏も、このトロイの木馬ソフトがどのようにし
て感染システムにインストールされたかは分からないという。
W32.SobigウイルスやActive X コントロールを悪用したサイトなどが、
脆弱性を持ったマシンにこのプログラムを植え付けた可能性はあるとスミ
ス氏は指摘する。また、このプログラムはIRCネットワークやKazaaなどの
P2Pネットワークを通して配布された可能性もあるとスチュワート氏は話
す。
このトロイの木馬プログラム“Migmaf”はウイルスのように自分自身で
増殖することはないが、感染したシステムの統計情報をマスターとなって
いるWebサーバに送付する多くの機能を持っているとスチュワート氏は分
析し、LURHQのWebサイトに掲載している。このトロイの木馬プログラムは
システムの現在の統計と情報をマスターサーバに送り、利用可能な帯域幅
までをモニターする、と同氏。
トロイの木馬プログラムを解析した結果、スチュワート氏はマスターと
なっているWebサーバがヒューストンのWebホスティング会社、Everyones
Internetが所有するマシンにあることを突き止めた。
Everyones Internetはこの件に関してコメントしなかったが、スチュワ
ート氏によれば、マスターとなったWebサーバは既に停止されており、ス
ミス氏はPayPal/ポルノサイトはダウンしているのを確認しているという。
それでも不正コンテンツとスパムを配布する、この新システムの追跡は非
常に困難だとスミス氏は認める。
「ジョー・スチュワート氏がこのサーバを発見するのに7日間かかった。
通常は数分間で済むのだが」とスミス氏。
KazaaなどのP2Pネットワークのように、この新しいスパムネットワーク
は分散型であり、漏れがない。このため、除去するのは困難だとスミス氏
は語る。
このトロイの木馬プログラムは大手ウイルス対策会社に送られ、除去用
定義ファイルが開発中である、とスチュワート氏。しかし、おそらく複数
のMigrafプログラムが存在するであろうし、その多くには、新しく開発さ
れた定義ファイルでも検知できないと同氏は推測する。
防御されていない家庭用コンピュータのユーザーはすべて、中でも常時
接続のブロードバンド接続状態にあるユーザーは特に、パーソナルファイ
アウォールを設置すべきだとスミス、スチュワート両氏はアドバイスして
いる。
ファイアウォールソフトウェアはMigrafがインストールされるのを防止
できなくても、感染したコンピュータがスパマーのマスターサーバに対し
て情報を送り、スパムやポルノサイトの配給元になるのは防いでくれると
いう。
関連記事
PCをポルノサイト誘導に利用するトロイの木馬
セキュリティアラートへ
[Paul Roberts,IDG News Service]
Copyright(C) IDG Japan, Inc. All Rights Reserved.