突然ですが皆さんはウイルス対策をちゃんとしていますか?
ここ数年で利用しているパソコンがサイバー攻撃の踏み台にされていると
プロバイダーから対策をしてほしいと連絡がきた。どうしたらいいのか?
そんなお問い合わせが増えています。
パソコンが古くお買い換えをしたお客様もいますが、
会社等で複数台利用されている方だとなかなかその選択は厳しいかと・・・。
ではそんな連絡が来たときにご自身で調べることができるのか?
今回はご自身コンピューターがボット化されてしまっていないか
調べる方法を調査してみます。
知らぬ間に加害者にならないように
しっかりと対策をしていきましょう。
DDOSとは?
ディーディーオーエス?で読みはいいのか?
いいえ。
DDOS(ディードス)と読みます。
Distributed Denial Of Service (分散型サービス妨害)を略した表記でDDOS。
インターネットに接続したコンピューターを介して
特定のサイトやネットワークを利用できないように妨害する攻撃動作をします。
わかりやすくイメージしてもらうと
ネットショップのセールの際に欲しいものがすごく安く売られていて
買おうと商品リンクをクリックしてもなかなか開かず
「接続できません。」
といった表示になったことはありませんか?
あれは、そのページを開こうとリクエストする人が多すぎて
新たに接続しようとする人を制限したような状態になっています。
行きたいお店があって着いたらすごい行列。
これではお店になかなか入れませんよね。
これを意図的に行う行為だと思ってもらうと更にわかりやすいでしょうか?
DOSってのもあるよね
そうですね。
一昔前はDOS攻撃ってのがありました。
これはディーオーエスではなく「ドス」と読みます。
Denial Of Services attackと略した表記でDOS。
DOS攻撃はハッカーのコンピューターから直接攻撃を加えます。
F5アタック
ネットショッピングにはまっていたころ
セール開始直前に何回もF5を押して再読み込みさせた記憶がありますが
意図的に組織的に複数でF5で再読み込みをさせて攻撃をする行為を
F5アタックとかF5連打攻撃とか呼ぶようです。
これは個人でやる分には最近のサーバーには影響はないでしょうが、
意図的に大勢でやると犯罪になるので気を付けましょう。
ゾンビマシンって?
ボットウイルスに感染してしまったパソコンを
ゾンビマシンと呼びます。
ゾンビマシンになると、ウイルス作成者の命令を確認しに一定間隔で通信を行います。
これにより特定のWEBサイト等に自分コンピューターを勝手に使われて攻撃をされてしまいます。
DDOSは防げない?
DDOSの踏み台にされることは防げないのでしょうか?
いいえ。意識をすれば感染確立をかなり減らせます。
- ウイルス対策を入れて常に最新の定義にすることを心がける
- OSのアップデートを最新状態に保つ
- フリーソフトを極力入れない
- 知らない人からのメールの添付ファイルを開かない
- ファイルを開く前にはウイルスチェックをする
- ネット接続ができる機器のパスワードを定期的に変更する(面倒だからこれはちょっと)
- スマホのルート化(脱獄)をしない
- ファイル共有ソフトは絶対に使用しない
- なんでも「OK」で勧めない(何をしているのか意識する)
- わからなければ聞くor調べる
ボット化しているといわれてしまったら
ある日、ISPから連絡が来て
「お宅の環境からDDOS攻撃が検知されました。」
なんて言われたらどうしていいかわかりませんよね。
そんな時にはこれからご紹介するツールを利用して
どのコンピューターがボット化されているか調べていきます。
Kaspersky simda bot free ip scanner
Kaspersky(カスペルスキー)のsimda bot free ip scannerを利用して
ご自身のコンピューターが感染していないかチェックします。
下記ボタンをクリックしてsimda bot free ip scannerのページにアクセスしましょう。
Simada Bot Free IP Scannerでチェック
引用元:https://checkip.kaspersky.com/?utm_source=KD&utm_medium=text&utm_campaign=jp-kd
上記サイトにアクセスすると自動的にチェックしてくれます。
Your IP address was not found in the database of infected computers.
(あなたのIPアドレスは感染したコンピュータのデータベースに見つかりませんでした。)This does not mean that your computer is safe from any risks. Malicious programs can remain on your device without your knowledge for a long time.
(これはあなたのコンピュータがいかなる危険からも安全であるという意味ではありません。悪意のあるプログラムは、ユーザーの知らない間に長時間デバイスに残ることがあります。)引用元:https://checkip.kaspersky.com/?utm_source=KD&utm_medium=text&utm_campaign=jp-kd
僕のパソコンは感染していなかったようですが、
その下にはいかなる危険からも安全であるという意味ではないという一文が。
潜伏している可能性もあるし、現在入っていなくてもなにかの拍子に入り込む可能性もあるので
完全に安心ではないと思ったほうが良いです。
シマンテックのフォーラムでもこちらのリンクが貼られていました。
引用元:https://community.norton.com/ja/node/1168061
でもこれだけではなんか心配。
他にチェックする方法なないのか?
RUBotted
ウイルスバスターを開発している米TRENDMICRO(トレンドマイクロ)社が無償提供している
ボットウイルスを検出するための専用ツールです。
しかしこのツールは検出のみを行い、駆除はできませんのでもしも検出された場合には
駆除ツールが別途必要になります。
自分のコンピューターが感染しているのか?
複数ある場合にどのコンピューターが感染しているのか調べるのに役立ちます。
と思ってダウンロードサイトを探したんですが
もうRUBottedはないようです。
検索するとあまり良くないサイトと見受けられたので
ダウンロードはしないほうが良いでしょう。
ルートキット攻撃って?
RUBottedを探して米トレンドマイクロのダウンロードページを見てみたのですが
もうなさそうです。
で、R~始まるソフトを探していたら
Rootkit Busterってのがあるのでこれを「Rootkit」で調べてみました。
するとルートキット攻撃ってのが出てきました。
ルートキットの定義
ルートキットとは、対象の PCに感染する、攻撃者がそのPC へ継続的にリモートアクセスするためのツール一式をインストール可能とする、といった目的を持つマルウェアを指します。通常ルートキットはオペレーティングシステムの奥深くに潜み、アンチマルウェア製品などのセキュリティツールによって検知されないように設計されています。ルートキットには、キーロガー、パスワード窃盗ツール、クレジットカードやオンラインバンキングの情報を盗むモジュール、DDoS攻撃用のボット、セキュリティソフトウェアを無効にする機能など、多数の悪意あるツールが含まれている場合があります。ルートキットはバックドアとして動作することが多く、攻撃者は感染したマシンにリモートからいつでも侵入でき、特定のコンポーネントを削除したり、インストールしたりできます。現在よく見られる Windows ベースのルートキットには TDSS、ZeroAccess、Alureon、Necurs などがあります。
引用元:https://blog.kaspersky.co.jp/what-is-a-rootkit/607/
ルートキットの中にはDDOS攻撃が含まれているので
ルートキットを退治するソフトをインストールしたほうが良いでしょう。
なんで、ルートキットを検出するソフトを探してみました。
ノートン パワーイレイサー
Symantec(シマンテック)社が提供している
ノートンパワーイレイサーをダウンロードして実行する。
このソフトはインストールが不要です。
ただダウンロードして実行するだけです。
ノートン パワーイレイサーは、無料のウイルス削除ツールです。ダウンロードして実行するとコンピュータからマルウェアや脅威を削除できます。シマンテック製品またはシマンテック以外のセキュリティ製品を使用している場合でも、このツールを実行して脅威をスキャンできます。通常モードでコンピュータを起動できない場合は、セーフモードでこのツールを実行できます。ノートン パワーイレイサーは簡単にダウンロードでき、お使いのコンピュータを迅速にスキャンして最も強硬なコンピュータウイルスを検出します。このツールはインストールする必要がありません。
引用元:https://support.norton.com/sp/ja/jp/home/current/solutions/kb20100824120155EN_EndUserProfile_ja_jp
ノートンパワーイレイサーの使い方がいまいちわからない時は
ノートンパワーイレイサーの使い方を見る
感染しているかも?心配なときはセルフチェック
まずは兆候があるか症状を確認してみましょう。
Rootkit Buster(ルートキットバスター)
引用元:http://esupport.trendmicro.com/solution/ja-jp/1313859.aspx
TRENDMICRO(トレンドマイクロ)社が提供している
Rootkit Buster(ルートキットバスター)もあります。
偽物のRookitBuster(ルートキットバスター)も
出回っているらしいので注意してください。
ルートキットバスターの正規ダウンロードページからダウンロードしましょう。
心配な方はルーキットバスターの使い方も確認しましょう。
ルートキットバスターの使い方を見る
よく見かける赤い箱のウイルス対策ソフトのメーカーです。
利用されている方も多いのではないでしょうか?
アンチルートキットユーティリティ TDSSKiller
引用元:https://support.kaspersky.co.jp/viruses/disinfection/5350
Kaspersky(カスペルスキー)の提供している
アンチルートキットユーティリティ TDSSKiller。
こちらでもチェックができます。
アンチルートキットユーティリティ TDSSKillerをダウンロードしたいかたは
カスペルスキー技術サポートのページからダウンロードしましょう。
このツールはセーフモードでも使用可能なので
より精度をあげてチェックしたい方はセーフモードで起動して実行させると良いでしょう。
カスペルスキーdailyでルートキットについての記事を読んでみてください。
カスペルスキーデイリーで記事を読む
Rootkit Remover(ルートキットリムーバー)
引用元:マカフィー
マカフィーが提供しているルートキット駆除ツール(Rootkit Remover)。
まずはRootkit Removerをダウンロードして実行。
使用方法はMcAfeeのナレッジセンターに掲載されています。
ナレッジセンターで使い方を見る
ルートキット検出ツールを実際に利用してみた
ルートキット記事備忘録
ルートキットを調べていて気になる記事を忘れないように
クリップしておきます。
スマホは大丈夫?
スマホもルートキットに感染する可能性は大いにあります。
Androidは特に可能性が高いのではないかと思われます。
引用元:https://www.google.com/
iOSとルートキットを検索かけても
MacOSの情報が出てくるので
iPhone、iPadは今のところ心配ないんでしょうか?
Androidはガッツリでてきますね。
しかも、出荷時から仕込まれている280万台って多すぎですよね。
名の知れたメーカー品ではありえないんでしょうが、
Androidは格安スマホが良く売られていますからね。
Android使ってるよー。
どうしよう?心配だー!
って思った方はカスペルスキーが30日体験版を出しています。
おわりに
ルートキットはウイルス対策ソフトに検知されないように設計されているため
皆さんがよく目にする市販されているウイルス対策ソフトでは検知できないようです。
駆除しようと検知をかけても、ウイルス対策ソフトから検知されないように自己隠ぺいをはかり
普通には退治することが困難なようです。
よって今回ご紹介したツールでは検知できないものも出てくる可能性もあります。
いたちごっこになってしまっているので、検知できるように開発しても
また亜種がでて、被害が出てまた開発して検知しての繰り返し。
なかなか難しいようです。
もしも、コンピューター内をチェックして検知されなかったのに
またISPからDDOS攻撃がありました。って言われたら
もうコンピューターを初期化するしかないでしょう。
そうならないようにウイルス対策しっかりする、OSを最新状態に保つなど
普段から心がけたいですね。
ぼくも油断せずに更新をこまめにしようと再確認させられました。