「ゾンビPCにやられた」--アカマイ、DNSサーバへのDDoS攻撃を認める

Robert Lemos, Jim Hu (CNET News.com)2004年06月17日 10時33分
  • このエントリーをはてなブックマークに追加

 今週、GoogleやYahooなどの主要ウェブサイトがアクセス不能状態に陥ったが、その原因となったDNSサーバへの攻撃は、「ボットネット」--つまり、ゾンビ状態にした家庭用パソコンを多数使ったものだったと、インターネット・インフラプロバイダのAkamai Technologiesが16日(米国時間)に明らかにした。

 この攻撃は15日、Akamaiが運営している重要なドメインネームシステム(DNS)サーバを狙って仕掛けられたもので、その結果Apple ComputerやGoogle、Microsoft、Yahooの各ウェブサイトが、約2時間にわたってほとんどアクセスできない状態になってしまった。DNSサーバは、「www.microsoft.com」のようなURLの文字列を、インターネットで使用されているIPアドレスの数字列に変換するもの。この攻撃を仕掛けた犯人らは、家庭で使われているパソコンに侵入し、そこからDNSサーバに大量のデータを送りつけることにより、DNSサーバのアドレス変換機能を圧倒し、一般のウェブユーザーが4社のサイトへアクセスできないようにした、とAkamaiは説明している。

 Akamaiに送りつけられたデータ量は「2、3台のサーバから送られたとは(考えられない)ほど大量」だった、とAkamaiのチーフサイエンティストで共同創業者のTom Leightonは述べている。「われわれはネットワークパートナーと共同で、あるボットネットワークが運営されているのを見つけ、そのシャットダウンに成功した。この結果、攻撃は止まった」

 ボットネットワークは、ボットと呼ばれるソフトウェアに侵入されたコンピュータを多数まとめたものだが、このソフトは攻撃を目的としたネットワークシステムをつくりだすために専用に設計されたもの。ボットは、脆弱なパソコンを見つけだし、そのなかに自らをインストールするプログラムで、リモートアクセスのトロイの木馬プログラム(RAT)とも呼ばれる。パソコン内にインストールされたボットは、バックグラウンドで密かに動作し、パソコンの所有者が気付かずに作業している裏で、攻撃者がシステムに命令を送れるようにする。こうしたコンピュータは、簡単にいうとゾンビ状態で、遠隔操作が可能になってしまうのだ。

 最新のボットソフトウェアでは、チャットサーバやPtoPネットワーク経由で、攻撃者が侵入したパソコンをコントロールしたり、そのなかにある情報を盗んだりできるようになっている。ゾンビ状態になったパソコンを使って、別のコンピュータに侵入したり、あるいはそれに攻撃を仕掛けることも可能だ。ボットネットワークは、インターネットの重大な脅威だとセキュリティ専門家らは考えている。

 ボットネットワークを使った攻撃でよくあるのは、ゾンビとなった各パソコンから一見本物にみえるネットワーク情報を単一の宛先に送りつけるというもので、その結果標的とされたサーバには大量のデータが押し寄せることになる。このような分散サービス拒否(distributed denial-of-service:DDoS)と呼ばれる攻撃を受けたサーバは、数時間から数日にもわたってアクセスできなくなる場合がある。

  • このエントリーをはてなブックマークに追加