感染すると攻撃者からインターネット経由で遠隔操作される恐れのある「バックドア型不正プログラム」、いわゆる遠隔操作ウイルスに対する関心が高まっている。このタイプのウイルスを犯行に利用した一連の「遠隔操作ウイルス事件」は記憶に新しいだろう。警察がPCの所有者4人を誤認逮捕し、そのことが2012年10月ごろテレビや新聞などでも大きく報道された。

 その事件は2012年に起こったものだが、実はバックドア型不正プログラムは最近登場したわけではない。10年以上も前から存在する。また、2011年夏ごろから大きく報道されるようになった標的型攻撃でも、バックドア型不正プログラムが使われている。標的型攻撃では、攻撃者は主にメールを使って標的のPCをバックドア型不正プログラムに感染させ、そのPCを起点に組織内のさまざまなサーバーのアクセス権限を取得し、情報を窃取していく。

4割の標的型攻撃にBKDR_POISONが使われた

図1●2012年上半期の標的型攻撃に用いられたバックドア型不正プログラム
トレンドマイクロの調査結果。50件の標的型攻撃について、どのようなバックドア型不正プログラムが利用されたのかを調べた。BKDR_POISONおよびBKDR_DARKMOONが約4割を占める
[画像のクリックで拡大表示]

 2012年上半期に発生した標的型攻撃50件について調べたところ、その約4割で「BKDR_POISON(ポイズン)」「BKDR_DARKMOON(ダークムーン)」というバックドア型不正プログラムが使われていた(図1)。BKDR_POISONおよびBKDR_DARKMOONは、いずれもインターネット上で無償公開されている同一のRAT(Remote Administration Tool)で作られたものである(二つのバックドア型不正プログラムはほぼ同じなので、両者を合わせて「BKDR_POISON」と表記する)。

 BKDR_POISONに感染したPCは、「C&C(Command & Control)サーバー」と呼ぶプログラムを使って遠隔操作されてしまう。BKDR_POISONがサーバー側プログラム、C&Cサーバーがクライアント側プログラムとして動作する(図2)。

図2●遠隔操作ウイルスを用いた攻撃
図2●遠隔操作ウイルスを用いた攻撃
攻撃者はC&Cサーバーと呼ばれるプログラムを用いて、遠隔操作ウイルスのBKDR_POISONが感染した標的のPCを操る。C&Cサーバーがクライアント側プログラム、BKDR_POISONがサーバー側プログラムとして動く

この先は会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら