知られざる「ボット」の脅威――オープンソース型手法で進化
シマンテックの林薫氏は、AVAR 2004のセッションで、「ボット」と呼ばれる攻撃用プログラムに対する警戒を呼びかけた。
自省を込めて書くが、メディアはとかく、BlasterやSasser、Bagle、NetSkyのように感染力が高く、蔓延の絶対数が多いウイルスやワームを盛んに取り上げがちだ。しかしその影で、目立たないながらも確実に広がっている脅威があるという(関連特集)。
シマンテックの林薫氏(セキュリティレスポンス シニア・ソフトエンジニア)は、11月25日に行われたAVAR 2004のセッションの中で「ボット」と呼ばれる攻撃用プログラムの動向を解説した。
ボットの広がりを特に最近痛感しているというシマンテックの林氏このボットとは、「ロボット」から取られた言葉だ。さまざまな手段でマシンに忍び込み、攻撃者がIRCなどでリモートから送りつける命令どおりに動作する。ホスト内でコマンドを実行したり、外部へDoS攻撃を行ったり、重要なデータを送信させたりと、その操作は思いのままだ。林氏によると今年、特にこの数カ月というもの、そのボットの検出数が増えているという。
ウイルスソースコードが広く流通
林氏はボットの特徴を「オープンマリシャスプログラム」だと表現する。つまり、「ウイルスやワームがオープンソース的手法で作られている」というわけだ。
無論、今年猛威を振るったNetSkyやBagleにしても、ソースコードが流用されていると思しき兆候が見られる。しかし、これらが限られたグループ内での流通にとどまっているのに対し、「Gaobot、Randex、Spybotといったウイルスの場合、ソースコードが広くインターネット上に出回っており、それを不特定多数がアップデートしている」(林氏)。ご丁寧なことに、GPLライセンスを同梱したボットまで存在するという。
11月27日追記:上記の「Spybot」は、シマンテックはじめ複数のベンダーが警告している悪意あるプログラムのことを指している。名称が同じで紛らわしいが、スパイウェアを駆除するフリーソフトウェアの「Spybot」とは異なる。誤解を招いたことをお詫びします。
結果として、これらボットプログラムの亜種はものすごい勢いで登場し続けている。「亜種が頻繁に登場している」とされるBagleでさえ、多いときで1日に1種類のペースだったのに対し、「ボットの場合は9月だけで900種以上の亜種が登場した。これはシマンテックで確認できた数に過ぎず、実際にはもっと多く登場している可能性がある。1日どころか1時間に1種類というペースで、これが単独のグループによるものとは考えにくい」(同氏)。
SpybotやGaobot、Randexの亜種増加を示すグラフGaobotやRandexについては、オリジナルの作者が逮捕された後でさえ、月に100種類のペースで亜種が登場しているという。
ボットの3つの特徴
林氏によると、ボット、すなわちオープンマリシャスプログラムには3つの特徴がある。1つは、ツール類が整備されており、特別な知識を持たずとも容易に作成できることだ。検索サイトなどでこの種のソースコードを見つけ出し、記されたコメントに従って手を加えることで、「手軽に自分用のボットを作ることができる。この結果、容易に『複合型の脅威』に進化する」(林氏)。Spybotのようなプログラムともなると、「何人もの人が作成に携わっており、超高機能化している」(同氏)。
2つめの特徴は、目的志向で作られているということだ。その意味で、技術の誇示を狙った古典的なウイルスとは一線を画す。「NetSkyは感染を広げること自体を目的にしていた。しかしSpybotにとって感染を広げることは手段。何か、とりわけ経済的利益を得ることがその目的だ」(林氏)。この傾向はボットに限らず、フィッシングやスパイウェアといった、昨今警戒が呼びかけられている脅威についても同様という。
そして最後のやっかいな特徴は、ユーザーにそれと気づかれにくく、発見が難しいことである。「BlasterやSasserなどのウイルスに比べ、ボットは一般の注意を引かない」(同氏)のが現状だ。
さらにやっかいなことに、前述のとおりボットは亜種の作成が容易である。したがって、特定の環境や特定のユーザーにターゲットを絞ったカスタマイズ版ボットを作成され、次から次へと送り込まれる可能性も否定できない。ボットの亜種が多い割に、全体の感染数が少ない理由もこのあたりにありそうだ。
林氏によると、残念ながら「すでにソースコードが出回っており、ボットの作成を止めることは不可能」。ウイルス対策ソフトやリモートコントロールコマンドをブロックするファイアウォールの導入、適切なパスワードの設定とパッチ適用といった基本的な対策を講じることで身を守るしかないという。
何より重要なのは、教育だ。「オレオレ詐欺でもそうだが、手口さえ知っていれば簡単に対処できる。逆にこうした詐欺を、テクノロジだけで防ぐのは難しい」(林氏)。これと同様、ボットについても教育と知識の浸透が重要だと同氏は述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
ITmediaはアイティメディア株式会社の登録商標です。