« [P2P][DHT]第2回DHT(分散ハッシュテーブル)勉強会を開催します! | トップページ | [P2P入門]これで納得!P2P超入門~その1 »

2006.03.18

[Winny][P2P]Winnyでbotネットを構築し、新型大規模DDoS攻撃が起きる懸念

Winny経由によるウィルス感染及びそれによる情報アップロード+暴露等による被害が紙面をにぎわしているが、今後はウィルスが進化し悪質化することが考えられる。

Winny関連ウィルス(いわゆるAntinny)は大きく感染被害例で分けると
-Winnyネットワークに情報を勝手にアップロードする
-PCがHTTPサーバのように振る舞い、PC内容が閲覧できる状態になる
-特定の組織にメールを送信する
-ウィルス作者によって指定されたサイトへのDDoS攻撃
etc..

が挙げられる。

ところで、今後もWinnyのネットワークを利用したAntinnyは出現する事が考えられる。そのひとつが「トロイの木馬」型ウィルスだ。(トロイの木馬をウィルスと書くのは微妙だが、とりあえずこのように表記しよう。)

トロイの木馬は、ウィルス感染した端末に対して他人が勝手にアクセス、作動させることができるウィルスだ。この手のウィルスはDoS攻撃、DDoS攻撃によく利用されるほか、踏み台にするために利用する事もある。

トロイの木馬に感染したPCはIRCと呼ばれるプログラムを利用して操作することができる。このトロイの木馬にウィルスしたPCはあるネットワークを構築しており、botネットと呼ばれることがある。botを利用してウィルス作者、ある
いはそのウィルス技術を知っている人は感染PCを好きなように利用する事ができるのだ。
なお、 botやbotネットについては下記の記事を参考にして欲しい。
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20041215/153889/
http://www.microsoft.com/japan/technet/security/secnews/articles/column0411bot.mspx

さて、ここでWinnyとトロイの木馬の関連が出てくる。通常のbotネットはチャットで利用されるIRCを利用して形成するが、Antinnyでのトロイの木馬はWinnyをbotネットとして使う事が考えられる。既に同様の指摘がされている。
http://d.hatena.ne.jp/winny/20060316

例えばWinnyをbotネットとして使う場合、感染ノードをプロキシとして使うようにすれば、誰から操作されてい
るかさっぱりわからなくなることができる。

もう少し見方を変えるとWinnyのキャッシュ機能を使うと更に匿名性を確保しつつ感染PCを操作することができる。その方法はWinnyに流通しているkeyやファイルを利用して感染PCを操作する方法だ。kyeあるいはファイルに特定の命令を埋め込む事ができる。この操作方法は特定のPCに対する操作や即時性が求められる操作は難しいが、継続的に広範囲に不特定多数に行う操作は可能だろう。既に前文でわかると思うが、その一つの
応用例がDDoSアタックだ。攻撃者があるファイルにDDoSアタックを行う命令を入れれば、感染PCは継続的にあるターゲットに攻撃する。もちろん、攻撃者はWinnyの匿名性により特定できないということになる。

もちろん、今までもAntinnyによるDDoSは発生している。ただし、私が言っているのは、攻撃者の「命令」によって、任意のサイトをアタックできるDDoSアタックである。このようなDDoSはAntinnyでは今まで発生してない。
ちなみにAntinnyによる「特定」サイトのアタックについては下記を参考にして欲しい。
http://www.itmedia.co.jp/enterprise/articles/0412/03/news026.html?edr


このようなDDoSアタックで一番怖い攻撃は、実はWinnyならではの機能を使ったDDoSだ。それはWinnyのダウンロード機能を利用するものである。例えば、感染PCが無差別にファイルのダウンロードすることによって、接続
ネットワークの帯域が大幅に消費される攻撃だ。すると、そのネットワークに繋がっているノード(ひいては国内全体のPC)に影響を与える事になる。最悪、日本国内のPCがどのWebサーバにもつなげないという自体になるかもしれない。

このような懸念は既に私のBlogで指摘していた。
http://toremoro.tea-nifty.com/tomos_hotline/2004/10/p2pp2pddos.html
そして、まさしくそのような懸念点が実現性を増した事になる。早急に技術面及び法整備面からAntinny対策をする必要がある。

|

« [P2P][DHT]第2回DHT(分散ハッシュテーブル)勉強会を開催します! | トップページ | [P2P入門]これで納得!P2P超入門~その1 »

パソコン・インターネット」カテゴリの記事

コメント

Kiyoshiさん:
ご指摘ありがとうございました。
修正しました。
今後もよろしくお願いします。

投稿: Tomo | 2006.03.25 12:31

■書き間違い■
「kyeあるはファイルに特定の命令を埋め込む事ができる。」という箇所の
「kyeあるはファイル」は
「keyあるいはファイルは」ではないでしょうか。

投稿: Kiyoshi | 2006.03.18 11:05

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/18781/9142202

この記事へのトラックバック一覧です: [Winny][P2P]Winnyでbotネットを構築し、新型大規模DDoS攻撃が起きる懸念:

» [Security]Tomo’s HotLine: [Winny][P2P]Winnyでbotネットを構築し、新型大規模DDoS攻撃が起きる懸念 [インフラ管理者の独り言(はなずきん@酒好テム管理者)]
IRCだけでなくP2Pを介せばという...以前、某勉強会でも話題になっていた内容ですね。 [続きを読む]

受信: 2006.03.21 00:52

« [P2P][DHT]第2回DHT(分散ハッシュテーブル)勉強会を開催します! | トップページ | [P2P入門]これで納得!P2P超入門~その1 »