従来のボットの感染経路は、システムの脆弱性を直接狙うエクスプロイト型や電子メールなどに不正プログラムを添付して送りつけるケースが目立ったが、2007年ごろからWebサイト経由によるものが急増している。
このケースでは一般企業などのWebシステムを標的にし、SQLインジェクションなどの脆弱性を悪用してサイトを改ざんする。攻撃者は、ユーザーのマシンにマルウェアを感染させるための不正サイトへリンクする「iframe」タグを埋め込み、閲覧者が改ざんされたサイトを閲覧すると次々と不正プログラムに感染する仕組みである。
サイバークリーンセンターが2007年に収集したエクスプロイト型(約16万種)とWeb感染型(2300種)の検体を比較したところ、同一性のある検体はわずかに11種だった。さらに、ブラックリスト指定されている約10万URLを基に収集した検体(1921種)を調べたところ、69%が未知のものだった。
Web経由による感染はユーザーの行動が原因となるため、ファイアウォールやセキュリティ対策機能を持ったルータなどを用いた、外部からの直接攻撃に対処する方法では、回避することが難しいという。
このほかにも、ボットに感染したコンピュータと指令サーバとの通信に80番ポートや5190番ポート、1863番ポートといったHTTPや一般のアプリケーションで使用するポートを用いることでファイアウォールなどの対策を回避する方法が増えている。さらには、Windows Updateやファイアウォール、ウイルス対策ソフトの機能を無効化して駆除をできなくさせるようなものも増加傾向にあるという。
サイバークリーンセンターでは、ボットを駆除するための「CCCクリーナー」をWebサイトで一般公開しており、感染が疑われる場合には同ツールを使用して、確認と駆除をするように呼びかけている。
Copyright © ITmedia, Inc. All Rights Reserved.