年末緊急特番!ボットネット対策のすすめ:犯罪ビジネス化するボットネット (2/2)
ボットが自分自身を保護するために使われる技術にも、いくつか特徴がある。1つは暗号化や難読化だ。自己解凍形式で自らを圧縮したり、パッキング技術を活用したりして、ファイルの中身を見てもそれがなんだか分からないようにしてフィルタリングをすり抜ける。
プログラム本体の解析を困難にするための工夫も凝らされている。例えば、ソースコードの中にハードコードされているURLの文字列を1ビットずつずらし、そのうえビット反転をかけて解読しにくくしていた例があったという。ルールを知っている側からすれば簡単だが、その規則を知らないままリバースエンジニアリング的に解読するのは非常に困難だ。
さらに、デバッガやハニーポット、仮想環境を検知して自分自身の動作を止めたり、消してしまう機能もある。「ホストOSとゲストOS間の通信インタフェースの中にあるVMwareという文字列を検出すると挙動を変えるケースもある」(同氏)という。
ローリスク、ハイリターンの現状を変えよう
真鍋氏によると、最近の攻撃には、まず「技術の複合化」という傾向が見られるという。最も大きな脆弱性である人間への攻撃、最も利用者に近い部分であるアプリケーションソフトへの攻撃やゼロデイ攻撃、最近ではターゲットを絞った攻撃が確実に見られるといい、「傾向としては短時間化と、いろいろな技術を組み合わせた多様化が挙げられる」(同氏)とした。
もう1つは、ボットネットを活用したオンライン犯罪がビジネスとして確立してきたことだ。現実社会の犯罪が強まり、より多くの成果を継続的に得るため、「脅威は流行を避け、潜む傾向にある」という。
真鍋氏は、現在のインターネット上の攻撃の最大の問題点が、「ローリスク、ローコストでありながらハイリターンであること」だと指摘し、この状況を逆転させていく必要があるとした。1つの方向性は、犯罪のリスク、コストを上げること。同時に、各々が情報を適切な形で出していくことにより、犯罪者が得られるリターンを減らしていくことも大事だという。
さらに、マルウェアに関する情報を適切に公表し、流通させていくことも必要だと述べた。脆弱性に関する情報の場合は、順番を間違えずに出せば適切なハンドリングが可能だ。しかしマルウェアに関する情報となると、不用意に情報を明らかにすると、犯罪者に対策をかいくぐるヒントを与えることになる。その部分についての議論も必要だという。
Copyright© 2012 ITmedia, Inc. All Rights Reserved.
オンラインムック Special
- PR -Special
- PR -
ITmediaはアイティメディア株式会社の登録商標です。