写真1■ SubSevenの公式サイトはhttp://subseven.slak.org/にあり,誰でもがダウンロード可能だ
「トロイの木馬から身を守る」
第4回 「トロイの木馬から身を守る」「常時接続の危険性」で解説したように,不用意なサービスをインストール,使用していると,思わぬ侵入経路をクラッカーに与えてしまうことになる点はおわかり頂けただろう。
Windows95/98/MeやMacintoshなどでは,ファイル共有などのサービスを停止し,特別なネットワークサービスを提供していない限り,外部からの侵入経路は閉じられたものとなる。しかし,そういったサービスを使用していないからといって安心できるわけではない。クラッカーは標的となるコンピュータに侵入経路が見つからなければ,みずから侵入口をこじ開けるからだ。
侵入経路を作る方法の1つとして,第1回にも何度か登場した「トロイの木馬」を使用し,標的のコンピュータにバックドア(裏口)を仕掛けるという方法がある。バックドアを作ることに成功すれば,あとは悠々と標的のコンピュータに侵入し,遠隔操作などを行うことができるからだ。
また,第2回でも解説したように,バックドアが仕掛けられたコンピュータは,ほかのクラッカーからも狙われることになる。
もしバックドアが仕掛けられれば,ファイルの覗き見,パスワードの漏洩,踏み台としてほかのコンピュータへの侵入に使われるなど,さまざまな攻撃を受けることになるだろう。また,クラッカーはこのような裏口を特定のユーザー用のストーキング行為のために使用することもある。ここでは,トロイの木馬として送り込まれるバックドアについて解説していこう。
| トロイの木馬とは |
トロイの木馬についてはすでに御存じの方が多いだろうが,ギリシャ神話「トロイア戦争」がその語源となっている。
|
コンピュータで言う「トロイの木馬」に当てはめれば,「木馬」がユーザーの喜びそうなソフトウェアやファイルになるだろうか。インターネットを使用していると,メールで送られてくる添付ファイルやダウンロードしたソフトウェアなど,トロイの木馬が紛れ込む機会は多い。
誤ってトロイの木馬を起動すると,バックグラウンドで悪意のあるプログラムが実行されることになる。トロイの木馬にはファイルやシステムの破壊を行うものから,前述したようにバックドアを仕込むものなどいろいろだ。
| トロイの木馬の侵入経路 |
トロイの木馬はどういった形で実行されてしまうのだろうか。ユーザーが喜びそうなファイルとはいったいどういうものなのか考えてみよう。
典型的なものでは,UNIXの「su」コマンドを利用したトロイの木馬がある。侵入に成功したクラッカーが,管理者権限を奪うために仕掛けるわけだ。侵入に成功したアカウントのユーザーが,トロイの木馬とは気が付かずsuコマンドを実行すると,入力された管理者権限のパスワードを,トロイの木馬がログとして記録する。パスワードが手に入れば管理者権限を乗っ取ることが可能になる。ログが取られている状態でsuコマンドを入力しても,エラーを表示することなく普通に動作するため,気が付かれる可能性が低い。
もう少し分かりやすい例を挙げよう。たとえば自分が普段から使用しているソフトウェアを考えてみてほしい。そのソフトウェアは人気のあるフリーウェアで比較的頻繁にアップデートされていたとしよう。Webページを閲覧中,そのソフトのオフィシャルサイトではないが,自分のインストールしているバージョンより,新しいバージョンがアップロードされているWebサイトを発見したとする。そこには最新機能が書かれており,それが魅力的な内容だったのでダウンロードしてインストールを行った。インストールは成功し,特に変わった様子もなく,気にせずそのまま利用していた。こういったファイルが実はトロイの木馬だったということもありえるのだ。
実際に以前,Macintoshで人気のある「Hotline」というコミュニケーションツールで,同じような手口のトロイの木馬が存在した。このトロイの木馬は通常のHotlineサーバとして何の変わりもなく使用できるが,実は裏ではそのHotlineサーバの管理者権限を乗っ取り,マウントされているすべてのハードディスクへのアクセスが可能となる,バックドアが仕掛けられていたのだ。このようなトロイの木馬の場合,第3回で解説したように,そのパケットをフィルタリングしたとしても,いつも利用するサーバソフトウェアにバックドアを仕込まれているため,サービスの利用するポートは開けられたままの状態となることはお分かり頂けるだろう。つまり,よく知られているトロイの木馬が利用するポートをフィルタリングしていたとしても,サーバの管理者が気が付かないかぎり,侵入が可能となるのだ。また,トロイの木馬の中には「トロイの木馬の除去ソフトウェア」と称して,実は「そのトロイの木馬そのもの」だったという笑えない事実もある。
もちろん,メールの添付書類,なにげなくダウンロードした画像ファイルなども同様に危険である。つまり,信頼できないサイトからダウンロードしたファイルはもとより,信頼できる相手からのメール添付ファイルですら細心の注意を払う必要がある。
| バックドアを利用した不正アクセス |
バックドアの仕込まれたトロイの木馬として有名なものは,これまで何度も登場している「BackOrifice」(http://www.bo2k.com/)と「Netbus」(http://www.netbus.org/)のほかに,Macintoshでは「Takedown」,「WRT」などのバックドアが存在する。これらのバックドアが標的となるコンピュータに仕込まれると,外部からの遠隔操作を可能にしてしまう。サーバプログラムはクラッカーたちが喜びそうな機能を網羅しており,標的のコンピュータをクラッカーが乗っ取ってしまうわけだ。
また,リモート操作やリモート管理が可能なソフトウェア(リモコン倶楽部やTimbuktu Proなど)を一度でも使用したことがあれば,その便利さはお分かり頂けるだろうが,もちろんこれらのリモート操作ツールもパスワードをクラックされればバックドアとなってしまう。
ではバックドアには実際にはいったいどういった機能があり,何ができるのか。ここではバックドアである「SubSeven」を取りあえげて,どのような操作ができるのか見てみよう。
| 完全なるコントロールを可能にするSubSeven |
SubSevenは1999年5月に発見されたトロイの木馬で,現在クラッカーたちに最も人気があるバックドアだ(写真1)。コラムで解説されている「Leavesワーム」が,SubSevenの仕込まれたコンピュータをターゲットとしていることからも,その人気の高さ,そして感染しているコンピュータの多さがわかるだろう。
写真1■ SubSevenの公式サイトはhttp://subseven.slak.org/にあり,誰でもがダウンロード可能だ |
SubSevenは,サーバプログラムをトロイの木馬としてターゲットコンピュータに送り込む(図1)。バックドアが開かれれば,SubSevenのクライアントソフトで遠隔操作を行う。これはBackOrificeやNetbusでも同様だ。
 図1■送り込まれたバックドアを利用して,遠隔操作やファイルののぞき見などが行われる |
トロイの木馬として送り込むファイル(サーバプログラム)は,サーバのエディット機能を用いれば,名前,アイコンの変更などにより,画像ファイルやセキュリティアップデートファイルなどを装うことが,簡単にできるようになっている。
サーバプログラムの対象となるOSはWindows9x/Me/NT/2000だが,現在Macintosh用のサーバプログラムも作成されている(ただしWindowsとの互換性はいまのところない)。クライアントソフトはWindows用,Macintosh用それぞれがあり,MacintoshからSubSevenの仕込まれたしたWindowsコンピュータをリモート操作することも可能だ(写真2)。
 写真2■Macintosh用のSubSevenクライアント |
| ここではSubSevenの機能について解説しているが,もちろんクラッキング行為を助長するものではない。あくまでもクラッキングされた場合にどのようなことになるか,その危険性を示すためのものだ。SubSevenを利用して他人のコンピュータに侵入した場合,「不正アクセス行為の禁止等に関する法律」に抵触する |
SubSevenクライアントを起動し,「IP」にサーバプログラムの仕込まれたコンピュータのIPアドレスを入力する。あとはコネクトボタンを押すだけで接続が完了し,遠隔操作が可能になる。
|
|
ここで解説したのはSubSevenのほんの一部の機能にすぎない。ほかにも
| ・デスクトップを隠す ・スタートボタンを隠す ・CD-ROMトレイの開閉 ・デスクトップ画面のキャプチャ ・スピーカーを鳴らす ・タスクバーを隠す ・モニタのオン・オフ ・WebCamのモニタ |
といったイタズラ行為や,
| ・ICQでの交信の傍受 ・IRCのbot ・代理サーバ(プロクシサーバ)経由の接続 ・ターゲットコンピュータからのポートスキャン ・ほかのマシンを攻撃するためのポートリダイレクト機能 ・SubSevenサーバが組み込まれたコンピュータをCGIでリスト可する機能 ・パケット盗聴 |
など,あまりにも多すぎて書ききれないが,クラッカーの喜ぶ機能を集約した形になっている。SubSevenのサーバプログラムは,現在のバージョンでは標準でポート番号「27374」を使用するが,サーバエディットプログラムで柔軟に変更を加え,ポート番号の変更やランダムポートを設定することもできる(写真12)。
 写真12■サーバエディットプログラムの画面 |
もし,自身のコンピュータにSubSevenサーバがインストールされてしまった場合,その被害の大きさがお分かり頂けるだろう。プライバシーは当然ながら,ほかのコンピュータへの攻撃が行われている可能性も否定できない。もし,ほかのコンピュータへの侵入が行われていた場合,攻撃者は「クラッキングされたコンピュータ」であると認識されてしまう。
複数台のコンピュータを所持しているのであれば,実験的にバックドアを仕掛け,遠隔操作を行ってみるとよいだろう。もちろん,実験後にきちんと除去しておかなければ,自らバックドアを仕掛けてしまうことになるので注意が必要だが,実際に使用してみればクラッカーが何を考えるのか理解しやすいはずだ。ただし,繰り返し述べるが,その場合は自分の管理しているネットワークおよびパソコンでテストしなければならないことに注意したい。
| トロイの木馬への対策 |
トロイの木馬を仕掛けるには,「トロイの木馬ファイルを標的のコンピュータに送り込むこと」,そして「ファイルを実行させること」が必要になる。
そのためにユーザーが好みそうなファイルや,安心して実行しそうなファイルに化けて入り込んでくる。アダルト画像やアップデートファイルなど,一般のユーザーが単純に実行してしまいそうなファイルを作ることは,それほど難しいことではないだろう。また,インターネットに関わるソフトウェアのバグを利用し,コマンドを実行させてしまう方法もある。第1回で解説したようにファイル共有などからの侵入が可能であれば,トロイの木馬をアップロードし,ユーザーが使用しそうなファイルにこっそり仕掛けておくということも考えられる。
また,チャットやICQなど,普段から慣れ親しんでいるコミュニケーションツールも,クラッカーにとって都合のよいツールである。親しげに話しかけ,「私の写真を送るから見てくれない?」と言われれば,知りあいになったばかりとはいえ,疑いもせずそのファイルを開いてしまわないだろうか? この手口は「ウイルスの新しい標的−MSN Messenger」で紹介したとおりだ。
繰り返しになるが自己防衛策の1つとして,公式サイト以外からのソフトウェアのダウンロード,怪しげなファイル,メールの添付ファイルには十分注意する必要がある。
| トロイの木馬の検知,除去 |
ありきたりではあるが,アンチウイルスソフトウェアやトレンドマイクロの「オンラインスキャン」,トロイの木馬のスキャンを行ってくれるポートスキャナーなどを使用して,検知や除去を行おう。このためにもトロイの木馬が利用するポートリストを知っておいてもよい。
 写真13■スキャンしてトロイの木馬に感染していないか確認する |
もしトロイの木馬を検出しても,早期に発見,除去すれば実害が出る前に対処できるかもしれない。万が一発見が遅れた場合は,最低限インターネットに関わるすべてのアカウントパスワード(メール,FTP,ショッピングサイトなど)を変更する必要があるだろう。
今回はトロイの木馬の中からバックドアについて解説したが,今後はこういったツールにも新種が続々と登場し,多機能化とともに発見が困難になっていくのは間違いない。インターネットを利用するにあたり,ダウンロードやファイルの授受は頻繁に行われることだけに,自己防衛策が立てられていないユーザーは常に危険にさらされている状況だ。常時接続を行うのであればなおさら,このようなファイルが蔓延している事実を知っておく必要がある。
