「ターゲット化」するボット、対策はあるのか？：年末緊急特番！ボットネット対策のすすめ（2/2 ページ）

[高橋睦美，ITmedia]

　一方、セキュリティ状況の監視を行うSOC（セキュリティオペレーションセンター）の立場からは、ラックのSNS事業本部JSOC部、セキュリティアナリストの川口洋氏だ。同氏は、実際にボット対応のレスポンスに当たったときの経験を振り返り、100台単位で感染が起こると、1台対処しても次々に新たな感染マシンが出てきてきりがなくなると述べ、早期の対処が重要だと述べた。

　川口氏がトラフィックの傾向を分析したところ、外部からの脅威と内部の脅威とが連動している兆候が見て取れるという。ただしスパムについては、そうした関連性が見られない。同氏はその理由として、UDPパケットの送信元アドレスが詐称されている可能性を挙げた。また、ボット作者／所有者がその存在を認識されないよう隠そうとしている可能性もあるという。

　同氏は、実際に監視に当たってきた経験を踏まえ、もし社内にボットが忍び込んでしまった場合は「ファイアウォールのログにけっこう足跡が残っている」と述べ、もしログをきちんと見ていない場合はしっかりチェックすべきとした。

　ボットに感染したPCは、周囲に攻撃を仕掛けようとして、やたらとゴミ（ドロップパケット）を出すという。そうした痕跡を逃さずキャッチするとともに、社内から外部に向けてのアウトバンド通信を制限することも大事になってくるとした。

JPCERT/CCがやいのやいの言うよりも……

　最後に登場したのは、JPCERT/CCの経営企画室業務統括、伊藤友里恵氏だ。

　同氏は、インターネット上の資産価値が高まり、利用者が広がるにつれて、現実社会による攻撃の標的になっきたと指摘。広告クリック詐欺やスパムメールの配信、情報の詐取などを通じて「確実に、不正に現金を稼げるサイバー犯罪のインフラになっている。ボットネットをインフラとして確実にお金を稼げるメカニズムが生まれている」と述べた。

　根本的な対策は、各氏が指摘するとおり、ユーザー一人一人が脆弱なPCをなくしていくよう心がけていくことである。そもそも、「すべてのメカニズムには人が関わっており、人という脆弱性が狙われている」と伊藤氏。

　しかし、「やれ『添付ファイルを開くな』『アップデートを行え』……やいのやいのと口酸っぱく言ってきたけれど、このやり方にもちょっと息切れを感じる。ここまで攻撃者側の手法が高度化すると、ユーザーのアウェアネスを高め、トレーニングを行うという方法に限界感を感じている」（同氏）

　その上で伊藤氏は、啓蒙啓発も重要ながら、これだけ攻撃が高度化した中では、サービス提供者（サービスプロバイダー）が顧客を守るというあり方に期待感が高まっていると述べた。

　ISPはその典型例だし、企業IT部門も企業内でITサービスを提供する「サービスプロバイダー」と言える。また、インターネット上でさまざまなサービスを提供する金融やオンラインコマース事業者などもその一種と言える。こうした、エンドユーザーに対する直接のインタフェースを持っている事業者が、CSRの延長線上で顧客を保護していくというあり方に期待したいとした。

　同時に、ベンダー側にも、いかにより安全な製品を提供するかという意味で期待が高まっていると伊藤氏。「ユーザー側の意識を高めることで、守る側と守られる側の相乗効果も得られるのでは」と同氏は述べ、インターネットの参加者すべてが、それぞれの立場からリスクを低減していくことで、サービスに対する長期的な信頼感を失わないよう心がけていくべきではないかと提言した。

（以下、12月13日掲載予定の記事に続く）