情報提供:トレンドマイクロ(株)
自分の家に泥棒が入った! となったらえらいショックな話ですが、その泥棒が家に潜んでいて、仲間を手引きしているとしたら怖い話です。今回はそんな症状を持つ「バックドア」について説明します。
ウイルスを誘い込むウイルス
【TROJ_BKDOORの文面】 図1 マイクロソフトからの警告と修正パッチに見せかけたウイルス添付メール。ウイルスそのものよりこれだけの文面を書き上げた根性に脱帽。 |
みなさんは「バックドア」という言葉をご存知でしょうか? 一般的には、サーバへの侵入に成功したハッカー(クラッカー)が、そのサーバに再度侵入するときのために用意した裏口のことを言います。
これと似た症状を持つのが、その名も「バックドア型」ウイルスです。PCに入り込んで感染するまでは普通のウイルスと同じですが、常駐して外部からのアクセスを可能にしてしまうという点が特徴です。
この連載でも何度か紹介している「トロイの木馬型」に似ていますが、トロイの木馬がパスワードを盗んだり、アドレス帳を悪用して勝手に情報を「持ち出そうとする」のに対し、バックドア型は「入り込むのを助ける」という違いがあります。
「BackOriffice」と「CodeRed」
【ハッカー集団「cDc」】 図2 BackOrifficeの作者、「CULT OF THE DEAD COW(cDc)」のページ。http://www.cultdeadcow.com/ |
バックドア型でも、「BackOriffice」こと「TROJ_BOSERVER」と、後継である「BackOriffice 2000(BKDR_BO2K)」はつとに有名です。BackOrifficeの名前は、マイクロソフトの総合サーバ群「BackOffice」と人体の「穴」を意味する「Oriffice」からつけられています(少々品がないですが、お尻の穴とセキュリティホールを掛けているとも取れます)。BackOrifficeは、「CULT OF THE DEAD COW」(通称cDc、http://www.cultdeadcow.com/)というハッカーの間ではとても有名なグループが大々的に発表したツールとしても名が通っています。
BackOrifficeにはサーバとクライアントがあり、ウイルスとしてほかのPCに感染するほうがサーバです。クライアントは、サーバに接続することで、感染しているPCを自由自在に操れるようになります。
自由自在、というのは過大表現でもなんでもありません。実際、PCで操作するすべてのことがBackOrifficeで可能です。ファイルやレジストリの操作、ビデオ、キーボード、スピーカ、ドライブなどハードの制御。挙句は開いているウィンドウや起動中のプロセスすら、クライアント側で遠隔操作できるのです。こうなると、もはや操り人形と同じ状態です。なお、BackOriffice 2000では、NT系OSが新たにサポートされ、プラグイン機能が追加されています。
【BackOriffice 2000の設定】 図3 BackOriffice 2000サーバの設定画面。cDcのページのリンクからダウンロードできるが、実行しないこと。 |
もう1つ有名なバックドア型のウイルスに「CODERED」があります。CODEREDは、マイクロソフトの「IIS(Internet Information Server)」のセキュリティホールを悪用するもので、中国語環境を狙ったウイルスとしても有名です。バックドア型の特徴を持っているのは亜種の「CODERED.C」で、ファイル感染はせずメモリ内で動作するだけのため、リブートすればそれ以上被害が広がる心配はありません(もっとも、IISを稼動させる以上再度感染する可能性は大きいわけですが)。
リモートデスクトップとどこが違う?
【BackOriffice 2000クライアント】 図4 遠隔操作でPCを操り人形にできるBack Orifficeのクライアント側。cDcのリンクからダウンロードできる。これを実行しても感染はしない(ワクチンソフトは反応する)。 |
勘のいい方は、BackOrifficeの機能がWindows XPの「リモートデスクトップ&リモートアシスタント」や市販のPC遠隔操作ソフトに酷似していることに気がつかれたと思います。BackOrifficeほどなんでもできるわけではありませんが、PCを遠隔操作できるという点は同じです。
では、これらのツールとBackOrifficeの違いはというと、実のところ何もありません。しいて言えば、サーバをインストールするのにウイルスの手法を使っているくらいでしょうか。もちろん、悪意を持った人間が、会社や学校のPCにPC遠隔操作ソフトを仕組んでおく可能性もあるので一概に市販ソフトだからいい、とも言い切れないのですが、「害のあるツール」と「害のないツール」の線引きはその程度のことです。
余談ですが、BackOriffice 2000は、cDcがGPLに基づいてソースコードを配布しており、誰でも入手できます。しかし、これを悪用したとか世界的にばら撒かれたという話は、いまのところ聞きません。
バックドア型を閉じる方法
図5a バックドア型ウイルス侵入 | 図5b 潜伏期 | 図5c 活動期、そして被害へ!! | ||
【バックドアの基本的な症状】 |
とはいえ、自分のPCを遠隔操作されてうれしい人などいません。で、対策なのですが、実は通常のウイルスと同じで、ワクチンソフトで普通に検知することができます(前回の「ミュータント型」の特徴を持っていると発見しづらくなります)。
新種に感染した場合でも、パーソナルファイアウォールを導入していたり、ルータでポートをふさいでおけば、外部から接続できなくなるため、バックドアの脅威は防げます。もっとも、そのウイルスに別の症状がないという保証はないわけですが……。
バックドア型ウイルスとその亜種たち
- 名称
- タイプ
- 発病条件
- 主な症状
- 具体例
- TROJ_BOSERVER
- バックドア型
- ファイル実行
- バックドア(サーバ)
- BackOrifficeのサーバ側。ファイルを実行すると感染する。PCに常駐し、クライアント側からの接続を待つ。PCで実行できるすべての動作が可能になってしまうという凶悪な機能を持つ。
- BKDR_BOCLIENT
- バックドア型
- ファイル実行
- バックドア(クライアント)
- BackOrifficeのクライアント側。ほかのPCに常駐しているサーバに接続すると、そのPCで実行できるすべての動作を行うことができるようになる。クライアント側を実行しても、感染は行われない。
- BKDR_BO2K
- バックドア型
- ファイル実行
- バックドア
- BackOriffice 2000。ファイルを実行すると感染する。PCに常駐し、クライアント側からの接続を待つ。PCで実行できるすべての動作が可能になる。Windows NT系OSに対応した。
- CODERED.C
- バックドア型
- ファイル実行
- バックドア
- マイクロソフトの「Internet Information Server」が稼動しているサーバのセキュリティホールをついて感染する。ファイルには感染せず、メモリに常駐するだけなので、再起動で元に戻る。