ネットワーク管理者は注意を−80番ポートを使うIRCボットが増加−

米国セキュリティ組織が発表したところによると、利用者のパソコンに感染したボット(＝攻撃者が不特定多数のパソコンやサーバーを遠隔操作できる悪意のプログラム)が、攻撃者側のサーバーと通信する際に、HTTPが使用する「80番ポート」を利用するケースが増えているとして警告を発しました。

・「80番ポートを使うIRCボットが増加中」、セキュリティ組織が注意喚起(IT Pro)

攻撃を指令するサーバーからの攻撃指令は主として、有害プログラムに感染したマシンとの間で、IRCプロトコルで送信されることが一般的です。

しかし、企業などで導入されているファイアウオールでは、業務で利用する以外のプロトコルは閉じている場合がほとんどのため、通常、開けられていることが多い「80番ポート」(＝HTTPが使用するポート)を使って通信しようとするケースが増えていると記事では述べています。

80番ポートを使用したIRCを検出するための方法として、記事では、「HTTPの通信(Webへのアクセス)はプロキシを経由させるようにする」ことが有効であるとしています。

また、企業／組織内で知らないうちに稼働しているC＆Cサーバーを見つけるには、「80番ポートでリクエストを待ち受けているIRCサーバー」を探せばよいという。SANSでは、スキャン・ツール「nmap」を使ってそのようなサーバーを見つける手順を紹介している。そのほか、ボットとC＆Cサーバー間の通信を検出するには、「Snort」のようなIDS（侵入検知システム）も有用であるという。

ウイルスなどによってボットに感染するパソコンが増加しています。ネットワーク管理者はもちろん、利用者も注意が必要です。