Video Screencast Help
Security Response

ZeroAccess ボットネットの解析

Created: 02 Oct 2013 06:58:29 GMT • Updated: 04 Jun 2014 09:14:02 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

ZeroAccess ボットネットは、今なお活動中であることが広く知られているボットネットのひとつで、シマンテックが 2013 年 8 月に観測した時点では、1 日当たり 190 万台以上のコンピュータが影響されています。ZeroAccess ボットネットの大きな特徴は、P2P のコマンド & コントロール(C&C)通信アーキテクチャを使っていることです。これにより、ZeroAccess は高い可用性と冗長性を備えています。中央の C&C サーバーが存在しないため、攻撃に使われている一連のサーバーを無効化しても、それだけでボットネットを停止に追い込むことはできません。ZeroAccess に感染したコンピュータは、まず多数のピアに接続して、既知の P2P ネットワークの他のピアに関する情報を交換します。これでボットは他のピアを認識するようになり、ネットワークを通じて迅速かつ効率的に命令やファイルを拡散できるようになります。ZeroAccess ボットネットでは、ピア間で常に通信が行われています。各ピアが絶えず他のピアに接続してピアリストを交換し、ファイルの更新を確認しているので、停止の試みに対して非常に強い耐性を示します。

ボットネットをシンクホールに捕捉
今年の 3 月、シマンテックのエンジニアは ZeroAccess ボットが相互に通信するメカニズムを詳しく研究して、どうすれば ZeroAccess をシンクホールに捕捉できるかを確認しました。その過程で、ある弱点を利用すればボットネットをシンクホールに捕捉することが、困難ではあるものの可能であることがわかりました。管理ラボでさらにテストを重ねたところ、ボットマスターからピアを解放する現実的な方法を見つけました。この間もシマンテックはボットネットの監視を続け、6 月 29 日には P2P ネットワークを通じて ZeroAccess の新しい亜種が拡散していることを発見します。更新された亜種には多くの変更点がありましたが、特に重要なのは、シンクホールによる捕捉に対して脆弱であるという設計上の欠陥に対処するよう変更されていたことです。ZeroAccess の P2P メカニズムの弱点については、2013 年 5 月に発表されたレポートで研究者が解説しています。シンクホールによる捕捉の試みに対抗できるようなアップグレードを ZeroAccess ボットマスターが急いだのは、そのレポートがきっかけになった可能性があります。
 
こうした変化が確認され始め、現実性のある計画が整えば、もう選択の余地はありませんでした。今すぐに作戦を開始しなければ計画そのものが台無しになります。7 月 16 日には、ZeroAccess ボットのシンクホールでの捕捉を開始しました。効果はすぐに現れて 50 万以上のボットが分離され、ボットマスターによって制御されているボットの数は大幅に減少しました。シマンテックのテストでは、新しい ZeroAccess ボットをシンクホールに捕捉するまでの P2P 活動は平均わずか 5 分ほどでした。このことの潜在的な影響を理解するには、ZeroAccess ボットネットの利用目的を考える必要があります。
 
ZeroAccess: ペイロード配信機能
その構造と動作を考えると、ZeroAccess は侵入先のコンピュータにペイロードを配信することを最大の目的として設計されているようです。ZeroAccess ボットネットでは、(攻撃者の視点に立つと)生産的な活動は、侵入先のコンピュータにダウンロードされるペイロードによって実行されます。ペイロードは最終的に 2 つの基本タイプに分類されますが、いずれも営利目的である点に変わりはありません。
 
クリック詐欺
シマンテックが確認したペイロードのタイプのひとつは、クリック詐欺型のトロイの木馬です。このトロイの木馬はオンライン広告をコンピュータにダウンロードし、正規ユーザーによって生成されたように見せかけた偽のクリックを生成します。この偽クリックがカウントされて、ペイパークリック(PPC)によるアフィリエイト方式の支払い対象になります。
 
Bitcoin マイニング
仮想通貨には、サイバー犯罪者にとって多くの魅力があります。各 Bitcoin は、コンピューティングハードウェアに対する「マイニング」という数学的な処理を実行することに基づいて成立しています。この活動が、ボットマスターにとっては直接の価値を持ち、何も知らない被害者に損害をもたらします。シマンテックは、ラボで旧式のコンピュータを使って、この活動の経済的な側面や影響を詳しく調べました。
 
ZeroAccess の経済的側面
好奇心から、オフィスにころがっていた古いハードウェアを何台か使って、ZeroAccess ボットネットが電力消費の点でどのような影響を及ぼすかをテストし、その活動の経済的な側面を確認しました。クリック詐欺と Bitcoin マイニングのどちらも調べましたが、特に重視したのは Bitcoin マイニングです。ボットで最も盛んに実行されている活動だと考えられ、ボットマスターにとって直接の経済的な価値をもたらしているからです。テスト用のコンピュータに ZeroAccess を感染させてから Bitcoin マイニングを設定し、それとは別にアイドル状態にできる正常な制御用コンピュータも用意しました。コンピュータは、消費電力量を測定するために電力メーターに接続します。テストの結果、興味深い測定値が得られました。
 
テストコンピュータの仕様:
モデル: Dell OptiPlex GX620 Pentium D 945 3.4GHz 2GB(最大 TDP 95W)
測定された消費電力/時間: 136.25 W(マイニング中)
測定された消費電力/時間: 60.41 W(アイドル時)
MHash/秒: 1.5
 
Bitcoin については以下の条件を想定:
Bitcoin/米ドル交換レート: 131
Bitcoin 難易度係数: 86933017.7712
 
Bitcoin マイニング
Bitcoin マイニングは、その仕組みから 1 台のコンピュータだけで運用しても、常に無益に終わる可能性がありました。この仕組みを丸 1 年続けても儲けは 0.41 ドルにしかならないからです。しかし、190 万台のボットを利用できるとなれば計算は大きく変わり、ボットネットによって 1 日何千ドルも稼ぎ出せる可能性があります。もちろん、毎日 1 日中すべてのコンピュータを利用できるわけではなく、ボットネット上のコンピュータは性能レベル、読み込み時間、稼働時間がそれぞれ異なるため、この金額は大雑把な概算にすぎません。この概算では、すべてのボットが 1 日 24 時間稼働し、各ボットがシマンテックのテスト用コンピュータと同じ仕様であると仮定しています。
 
クリック詐欺
クリック詐欺を実行するボットは、非常に活動的です。テストでは、各ボットが毎時間 257MB のネットワークトラフィック、つまり 1 日当たり 6.1GB のトラフィックを発生させました。また、1 時間当たりに生成される偽の広告クリックは 42 件でした(1 日当たり 1,008 件)。1 回のクリックで支払われるのが 1 セント、あるいは何分の 1 セントかであっても、感染したコンピュータが 190 万台あれば、攻撃者は 1 年間で何千万ドルも稼いでいる可能性があることになります。
 
こうした活動が秘めている価値がわかったところで、このようなボットネットを運用する際のコストを電気料金の観点で見てみましょう。
 
電力コスト
ZeroAccess が何も知らない被害者に負担させるコストを割り出すために、Bitcoin マイニング実行時のコストと、コンピュータのアイドル時のコストの差異を計算します。このテスト環境では、1 日当たり 1.82KWh の追加となり、被害者 1 人当たりに掛かるコストとしてはそれほど大きくありません。
 
マイニング時の消費電力: (136.25/1000)*24 = 3.27 KWh/日
アイドル時の消費電力: (60.41/1000)*24 = 1.45 KWh/日
差異: 1.82 KWh/日
 
これらの数字から、ZeroAccess に感染したコンピュータ 1 台で Bitcoin マイニングに必要な追加の電力がわかります。この数字を 190 万のボットに広げてみると、ボットネット全体に対して予想される合計コストと影響がわかってきます。
 
KWh 当たりの電気料金が 0.162 ドルだとすれば、1 台のボットで 24 時間マイニングを続けるコストは 0.29 ドル程度です。しかし、この数字にボットネット全体の 190 万を掛けると、電力消費量は 3,458,000 KWh(3,458 MWh、毎日 111,000 世帯に電力を供給しても余力があります)にも達します。この電力量は、カリフォルニア州モスランディングにある最大の発電所の出力(2,484 MW、1 日当たりの電気料金 560,887 ドル)よりもかなり多い量です。これほどのコストを掛けても、この電力すべてを使って得られる 1 日当たりの Bitcoin は 2,165 ドルにすぎません。このような金額と照らし合わせて考えると、もし自分で支払わなければならないとしたら、このような環境で Bitcoin マイニングを実行するのは経済的ではありません。しかし、他人の支出で Bitcoin マイニングを実行できるのであれば話はまったく変わり、実に魅力的な儲け話になります。
 
P2P ボットネットの停止は困難だが不可能ではない
今回の事例から、ZeroAccess の P2P アーキテクチャにどれほど回復力があっても、ボットの大部分をシンクホールに捕捉できることが判明しました。つまり、これらのボットは、ボットマスターからコマンドを受信できなくなり、コマンドの拡散にも金銭獲得手法の更新や追加にも、ボットネットでは使えなくなっているということです。
 
その一方で、シマンテックは全世界の ISP や CERT と協力して、情報共有や感染したコンピュータの感染除去に尽力しています。
 
詳細情報
シマンテックのロス・ギブ(Ross Gibb)とヴィクラム・タクール(Vikram Thakur)が、2013 年 10 月 2 日 から 4 日に掛けて開催される Virus Bulletin カンファレンスで、この作戦の成果について発表する予定です。また、ZeroAccess の内部的な詳細を解説したホワイトペーパーも、このプレゼンテーションと同時に公開されます。
 
ZeroAccess Trojan に関する主な事実と数値をまとめた解説図も用意しました。
 
zeroaccess_blog_infographic.png
 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。