セキュリティ対策にも広がる「格差社会」、どう埋める？：Interop Tokyo 2007（2/2 ページ）

[ITmedia]

　さらに、マルウェア解析者の手から逃れるため、より巧妙化する傾向にもあるとJPCERTコーディネーションセンター（JPCERT/CC）の椎木孝斉氏は指摘した。

　JPCERT/CCはボットネットの実態調査として、ボットを動作させずにコード解析して特性を調査する静的解析を実施した。約2000体のボットサンプルを動的解析して、ユニークな20検体を選出して調査したところ、「20検体すべてが、解析を困難にするためのパッキング処理を施す」偽装工作を行っていることが判明した。

　また、APIを直接呼び出すとボットが何をしようとしているのかが解析されてしまうため、独自の専用関数を実装して呼び出しを行ったり、コマンドを暗号化するなどの「防御策」もとられていたという。

JPCERTコーディネーションセンターの椎木孝斉氏

　トレンドマイクロの平原伸昭氏も、最近はダウンローダを利用して次々に攻撃を繰り出すマルウェアが増えていると述べた。2006年にWORM_RBOTの侵入被害を受けたある国内企業では、ダウンローダを介して次々とマルウェアをダウンロードされた。このケースでは検出と駆除、再感染を繰り返し、復旧できたのはようやく4日後だったという。

トレンドマイクロの平原伸昭氏

　もっとも、こうした攻撃者の技術レベルアップは防御側の対策発表が背景にあるとも考えられる。

　これに対して、インターネットイニシアティブの歌代和正氏は、「高度な対策を発表することで、攻撃者の投資コストを引き上げ、経済合理性を下げる効果もあるのでは」とプラス要因を述べた。

インターネットイニシアティブの歌代和正氏

　では、企業はどのような対策をとればよいのだろうか。「まずは、想定外の進入経路を突破されたときのために、多段的な対策を施しておくこと。2つ目は、バックアップを必ずとって緊急時にすぐ復旧できるようにしておくこと。そして、3つ目は、企業内を含めたネットワークの挙動監視を実施すること」が高倉氏より挙げられた。

　また、セキュリティ対策側も攻撃を迅速に解析して警告を出すために「解析の効率化や駆除ツールの改善、そして解析者同士のコミュニティを結成して情報共有を促進することも必要」（椎木氏）だ。何よりも、万が一のときに相談できる窓口を用意するなど、人のレイヤーでも多段的な連携作りが重要だと椎木氏は強調した。

　「感染したことが恥ずかしくて言えない企業が多い」（高倉氏）のでは、連携プレーで攻撃を仕掛けてくるボットネットには勝つことはできない。人と人とのコミュニティを構築し、情報共有を進めることから攻撃者に対するイニシアチブを握ることができるのかもしれない。