特集
» 2006年12月13日 19時06分 UPDATE

年末緊急特番!ボットネット対策のすすめ:ボット戦線は「圧倒的に向こうが有利でこっちが不利」 (1/2)

12月7日に行われた「Security Day」のパネルディスカッションの後半では、ボットの感染や攻撃活動への対策が語られた。

[高橋睦美,ITmedia]

本記事の関連コンテンツは「年末緊急特番!ボットネット対策のすすめ」でご覧になれます。


 12月7日に行われた「Security Day」のパネルディスカッション「〜徹底討論〜ボットネット第3弾〜いよいよ動き出したボットネット対策の全貌〜」では、マイクロソフトのチーフセキュリティアドバイザー、高橋正和氏が司会となり、参加パネラーそれぞれの視点からボットの最近の傾向が語られた

 具体的には、ボットの機能の自動化が進み、より「システマティックな状況になっている」(NTTコミュニケーションズ第二法人営業本部、エンジニアリング部企画戦略部門部門長の小山覚氏)。また、「汎用型ボットから特定向けのボットへという変化の傾向が見られる」(トレンドマイクロサポートサービス本部、プレミアムサポートセンタースーパーバイザーの平原伸昭氏)。

 こうした進化(?)を重ねつつ、「ボットネットは、不正に現金を稼げるサイバー犯罪のインフラになっている」(JPCERT/CCの経営企画室業務統括、伊藤友里恵氏)状況だという。

スピア型攻撃の発見は「困難」

 では果たして打開策はあるのか。特に「検体に頼ることなく、スピア型の攻撃を通じて入り込むボットを検出することはできるのだろうか?」(高橋氏)

 ラックのSNS事業本部JSOC部、セキュリティアナリストの川口洋氏は、セキュリティ監視サービスに当たってきた立場から、正直「なかなか見つけにくい」と述べた。

 同社では、いわゆるウイルス対策ソフトのシグネチャとは若干異なる性質の、監視用のシグネチャを作成し、ネットワーク上でボットによる不審な通信が行われていないかどうかを監視している。もしそうした挙動が発見されれば、アナリストによる解析を加えた上で、監視対象に通知する仕組みだ。

 しかし川口氏によるとこの作業は、暗闇を懐中電灯で照らすようなもの。懐中電灯を増やせば照らされる部分は広がるものの、見えない部分に何が潜んでいるかまでは分からない。実際、経験などを元に新たにシグネチャを追加すると、「今まで平穏無事だったはずのネットワークに、突然あっちにもこっちにもボットが見えてくるということが多々ある」という。

 「今見えているものがすべてではないと日々感じている」(川口氏)

感染活動と感染後の挙動にポイント

 川口氏は、ボットの感染を検知するポイントは3つあると述べた。1つは、ボットがPCに「感染しようとする挙動」。2つめは「感染したこと」そのもの。最後は、外部の指令者(ハーダー)との通信や外部に対する攻撃、モジュールのダウンロードといった「感染した後の挙動」だ。

 セキュリティ監視を行う立場からは、1つめの「感染しようとする」挙動を検出し、感染を予防することは困難だ。だが逆に、PCがボットに感染した後、何かおかしなことをやろうとしたところをキャッチし、警告することは可能だとした。

 ただ、そこでモノを言うのは、解析する側の経験やノウハウだという。いくら機器がアラートを出しても、それを見逃さない目が必要だ。また「日々手法は変わっていくため、1週間前は通常と見なしていたものでも、よくよく分析してみると『おかしい』ということもある」(同氏)

 なお、実際にボット感染のインシデントが発生した中には、報告の電話を受けている最中にどんどん感染が広がっていったケースもあったという。この事例ではネットワークを切り離して事なきを得た。しかし、自体を放置しておけばネットワークの帯域が食いつぶされるだけでなく、数日も経てばハーダーから何がしか命令が飛んでくる可能性が高い。

 「感染してから命令が来るまでの時間は徐々に短くなっている。命令が来る前に、いかに早く感染PCをつぶすか。いかに早くモグラを叩くかというスピードが勝負だ」(川口氏)

 逆にトレンドマイクロの平原氏によると、ウイルス対策ソフトでは「感染しようとする行動」をキャッチし、感染を防ぐことはできるが、いったん感染した後の挙動については把握が困難だ。よしんば、ボット本体のプログラムを解析して情報をつかんだとしても、その頃には別のモジュールがダウンロードされたり、亜種が登場したりで、その情報が古くなってしまう可能性もある。「ボットの挙動や通信内容の把握といった部分では、ISPやSOCと連携し、カバーできればいいのではないか」(平原氏)

技術的に可能な対策、検討が必要な対策

 一方小山氏は、ISPの立場から可能なボット対策について触れた。1つは、DNSサーバをうまく活用し、ボットに感染しているマシンからのアクセスを、対処用のサイトに誘導するといった手法だ。

 また、ボットがPCに感染した後、どういったIRCサーバやWebサーバと通信を行うのかを解析し、その通信先をデータベース化するのも1つの手という。ちょうどスパム対策における「レピュテーション」のように、ボットに組み込まれた情報を元に、危険な通信先へのアクセスを警告するといった仕組みだ。

 事実、同氏らが行ったボット「尋問」の結果からは、通信先や頻度について、幾つか興味深い事実が得られたという(関連記事)

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -