隠密化するボットへの対策に奇手なし：年末緊急特番！ボットネット対策のすすめ（2/2 ページ）

[松木隆宏，ITmedia]

1.OSやアプリケーションの修正プログラムを必ず適用する

　Windows XPを使っており、自動更新機能を有効にしてあるならば、自動的に修正プログラムが適用されているはずである。念のためMicrosoft Updateのサイトへアクセスし、適用可能な修正プログラムがないか確認しよう。その他のOSを使用している場合も同様に、セキュリティに関する修正プログラムの適用は必須である。

画面1●Microsoft Updateの画面。自動更新を設定していても、念のため再度確認しておこう

　また、OSだけでなく、Webブラウザやメーラーなどのアプリケーションに対する修正プログラムも必ず適用しよう。Webブラウザやメーラーにセキュリティホール（脆弱性）が存在する場合、悪意のあるリンクをクリックしただけでボットに感染する恐れがある。現に、OSではなくウイルス対策ソフトの脆弱性を狙うボットが登場している。

2.ウイルス対策ソフトのパターンファイルを更新する

　ボットについては、次々と亜種が出現しており、ウイルス対策ソフトのパターンファイルをできるだけ最新の状態に保ち続けておく必要がある。最新にしておいたからといって100％検出できるわけではないが、だからといって更新を行わないのでは、みすみす自分を危険にさらすようなものだ。

　昨今、ボットを中心とする亜種の多い不正プログラムが蔓延し始めてから、ウイルス対策ソフトベンダーでは、パターンファイルの更新頻度を高めることで、これらに対抗してきた。せっかくのこうした更新にはぜひ追従しておきたい。中には自動的に更新されるソフトもあるが、きちんと更新されているか、一度目で再確認してほしい。

　また、対策ソフトが備えているパーソナルファイアウォール機能を利用することも有効だ。身に覚えがないプログラムがネットワークに接続しようとした際は、必ず接続をブロックしよう。ウイルススキャンで検知できないプログラムでも、新しいボットである可能性がある。仮に検出をすり抜けてボットに感染したとしても、C＆Cサーバへの接続をブロックすることで、その活動を封じることができる。

3.安易なクリックやダウンロードをしない

　これは最も重要であり、かつ最も難しい対策でもある。インターネットを利用する以上、リンクのクリックやファイルのダウンロード、電子メールに添付されるファイルを開くといった作業は避けられない。

　よく「怪しいリンクをクリックしてはいけない」「怪しい添付ファイルを開いてはいけない」と言われるが、最近では攻撃側もそれを逆手に取り、「怪しくない」ように見せかけたリンクやファイルを使って、ボットに感染させるための罠を仕掛けてくることさえある。そのため、すべてのリンクや添付ファイル、ダウンロードしたファイルをクリックする前に安全を確認するよう心がけたとしても、十分すぎることはない。

　少なくとも、知らない人からのメールに添付されたファイルを開くこと、興味本位でいかにも怪しいと感じるサイトを閲覧することや、出元の不明なファイルをダウンロードして実行することは避けていただきたい。

4.強力なパスワードを使う

　ボットの自己増殖活動には、セキュリティホールを悪用して自動的に感染する以外の方法もある。その1つが、パスワードの辞書攻撃だ。特にWindowsの共有フォルダ機能を悪用するものが目立つ。

　このため、Windowsのログオンアカウントや共有フォルダのパスワードはできるだけ強力なものを使うよう心がけてほしい。英語辞書に載っているような、容易に憶測可能なものを使っていると、ボットの使用するパスワードリストの中にある単語と一致する可能性があり、それによりネットワーク内部での感染を許してしまう恐れがある。

　パスワードの強度の確認方法としては、マイクロソフトのサイトにある「パスワードチェッカー」などがある。このようなツールを使用し、パスワードの強度を確認していただきたい。また、必要以上にフォルダを共有しないことも重要である。

　以上の4項目はいずれも、一般的なセキュリティ対策として言われる内容ばかりだ。ボットだけでなく、他のセキュリティ上の脅威への対策にもなる。ぬかりのないよう対策を施し、セキュリティトラブルのない平和な年末年始を過ごしていただきたい。

耐解析機能を逆手に取る

　前回の記事の中で、ボットがデバッガや仮想環境を回避し、自分が分析されないよう動作を止める「耐解析機能」の存在について説明した。

　さて、ボットが仮想環境において悪意のある動作をしないのならば、「VMwareなどの仮想環境を日常的に利用すればよいのでは？」と思う人がいるかもしれない。

　筆者はこのような耐解析機能を逆手に取る考え方に基づいて、ボットに「自分自身がデバッグされている」と思わせる仕組みを作り、その上でボットを実行するという実験を行ってみた。6378種類のボットの検体を用いて実験したところ、101種類のボットの動作を封じることができた。ただし割合としては全体の1.6％に過ぎなかった（関連記事）。

　筆者の知る限り、ボットがデバッガを検知する方法には以下のようなものがある。

1.IsDebuggerPresent APIの利用

2.ブレークポイントの検出

3.デバッガ製品固有の情報の検出

4.一定ルーチンの実行に要した時間の計測

　実験では、このうちのIsDebuggerPresent APIのみを逆手に取った。他の手法も利用すれば、もっと多くのボットに対して有効かもしれない。

　今のところ、実際に蔓延しているボットのうち、どの程度の割合が耐解析機能を備えているかは詳しくは分かっておらず、まだ調査の余地がある。しかし、耐解析機能を逆手に取るというこのアプローチも、従来のウイルス対策ソフトによる対策と同様に、ボット作者との「いたちごっこ」になることが予想される。

　やはり、最も有効なボット対策は、コンピュータの脆弱性をなくし、安易なクリックをしないように注意しつつインターネットを利用することに尽きると言えるだろう。