cNotes 検索 一覧 カテゴリ

遠隔操作ウィルスのような攻撃元のなりすましは昔からもっと簡単にやられてるよね

Published: 2012/11/01

ずっとむかしから、スパム送信やDDoS等の攻撃を行う際にボットを踏み台にして攻撃元IPをボット化したPCのIPにすることで、無実のPC所有者を攻撃者のように見せかけ、攻撃元を隠蔽する行為はよく行われてきました。

それがボットというものの存在意義の一つであったりします。

単純なDDoSならソースIPアドレスを改竄したパケットを投げっぱなしにすればいいですが、スパム送信やF5のような攻撃ではちゃんと通信が確立される必要があるため、攻撃元の隠蔽には若干の工夫が必要になります。

たとえばスパム送信の場合は以下の様な方法があります。

  • スパム送信機能が実装されたボットを利用

「とあるスパム送信に必要な情報を連携するために準備されたWebサーバー」に定期的にアクセスし、そこから

    • 使用するMTAリスト
    • 文面、サブジェクト情報
    • Fromに使うアドレスリスト
    • 送信先リスト

をダウンロードし、その情報にしたがってスパム送信を行う。送信元のIPはそのボット化されたPCのもの。

参考 短縮URLスパムを大量送信するボット

  • ボットのProxy機能の利用

ボットにプロキシサーバー機能を実装し、スパマは、このボットのプロキシを経由して送信対象とするMTAとsmtp通信を行い、メールを送信する。メール送信そのものはスパマが利用するシステム側にあってボットはただの踏み台。でも、送信元のIPはボット化されたPCに見えるというもの。

実際にはこのタイプが非常に多く、OP25Bやその他のスパム対策を迂回するために利用されたり、ただのプロキシなので、スパム送信以外の攻撃にも広く利用されてました。

世界中のボットからスパム送信が試みられるわけで送信元IPは実際のスパマとは無関係である前提で対処していたはずですよね。OP25B等の対策のおかげでこれらの問題はかなり軽減されたとおもいますが、それでも契約ユーザーを踏み台にされて送信されるとどうしようもないですが。

実際の対策の場では、攻撃元のIPを調べてもそれが踏み台であることが多く、意図的なのか踏み台なのか見分けがつかないことも多いので、その攻撃元となっているユーザーにコンタクトをとって確認するとか、許可を得てからとりあえずフィルタするとか、かなり慎重な対応が必要になります。攻撃元も別の被害者の場合があるわけですから。ただ、とりあえずなりすましでも攻撃トラフィックが発生していることは事実なので緊急を要する場合は被害者側で被害者を守る対策(ソースアドレスベースでのフィルタ)をしてから、攻撃側への対応を、というのが一般的な手順ですかね。

当然、まったくなりすまさないストレートな攻撃も多いですが。

単に止めればいいわけではなく、対策には技術だけでなく、法律や対応ガイドラインなどのやさまざまな要素が関連してくるので非常に難しい世界です。

[カテゴリ:もろもろ]

by jyake