ニュース
» 2012年01月20日 08時00分 UPDATE

企業ネットワークへのバックドアと化すボットネット (1/2)

標的型攻撃など企業や組織を狙ったサイバー攻撃で使われるのが、「ボット」と呼ばれる不正プログラムだ。このボットの現状および将来予測をセキュリティ研究者が解説する。

[Tomer Teller,Check Point Software Technologies]

(本記事はCheck Point Software Technologies セキュリティリサーチャー兼エバンジェリスト、トーマー・テラー氏による寄稿です。)

 ボットネットは、組織のネットワークセキュリティを脅かす最も大きな脅威の1つです。数千台から100万台以上のコンピュータで構成されるボットネットは、サイバー犯罪者がコンピュータを乗っ取り、さまざまな違法行為や不正行為を行うために使用されます。データの摂取やネットワークリソースへの不正アクセス、サービス妨害(DoS)攻撃の実行、スパムメールの送信などがその一例です。

 昨今、ボットネットは数ある脅威の中でも特に厄介な存在となっています。旧来のマルウェアとは異なり、ボットネットはサイバー犯罪者の遠隔からの命令一つで攻撃の形態や活動を変化させるという特徴を持っています。ボットネットを構築するためのツールキットがわずか500ドルという価格でオンライン販売され、その攻撃が企業に数百万ドル規模の被害をもたらすことを考えれば、ボットネットがどれほど重大な問題であるかは容易に理解できるでしょう。

ボットへの感染がもたらす被害

 ある調査では、インターネットに接続されているPCの4台に1台はボットに感染している可能性があると推定されています。実際、「TDL」というボットマルウェアは、2011年に450万台以上のコンピュータ、1日当たり約10万のユニークアドレスに感染したと言われています。また、セキュリティ担当者の約半数はマルウェアによる攻撃が大幅に増加していると感じています。

 ボットネットが爆発的に増加している背景には、主に次のような理由があります。

マルウェアの産業化

 今日のサイバー犯罪はアマチュアによる単独行動ではなく、資金と動機、そして目標を持つテロリスト集団のように組織化されたグループによって行われています。非常にコストがかかるボットネットの構築と運営に、サイバー犯罪者たちが多大な時間と知恵、労力を注ぎ込めるのは、単独犯ではなく組織犯罪だからです。

 情報はサイバー犯罪者にとって宝の山ですが、金銭に関する情報だけが彼らにとって価値があるとは限りません。彼らは特定の請求に関する情報やクレジットカード情報よりも、一般的な顧客情報を重視する傾向にあります。後者のような情報を利用してスパムメールなどをパーソナライズすると、より大きな成果を得られる可能性があるからです。例えば、ある商品を宣伝するメールを50万人のユーザに送信したとしましょう。もし1000人に1人でも商品を注文すれば、それだけで500個の商品を販売できることになります。7000万の電子メールアドレスと個人情報を入手することで、スパマーが膨大な利益を獲得することが容易にお分かりいただけると思います。

 最も強力なボットネットの一例としては「Rustock」があります。このボットネットは2011年3月に米連邦捜査当局によって閉鎖されるまで、1日当たり最大140億通ものスパムメールを送信していました。

多様なマルウェアを利用した攻撃の巧妙化と増加

 マルウェアの世界はもはや「百貨店」と化しており、ほんの一例を挙げるだけでもウイルスやワーム、トロイの木馬、スパイウェア、アドウェア、ボットなどさまざまな種類の脅威が登場しています。標的型、APT(Advanced Persistent Threats)と呼ばれる新しいタイプの攻撃では、これらのマルウェアを駆使して、特定の個人や組織を標的にした巧妙な攻撃が行われます。また、ボットネットは活動形態を変化させることができるうえ、一般的なアプリケーションやトラフィックのパターンを模倣できるので、従来型のアンチウイルス製品などシグネチャベースのソリューションだけでは対応が困難です。多層的なアプローチでなければ、ボットネットによる被害の確実な防止はできません。

攻撃経路の多様化

 組織に侵入するための経路も多様化しています。例えば、Webブラウザの脆弱性やモバイルデバイス、電子メールの添付ファイル、リムーバブルメディアなどをうまく利用すれば、セキュリティ対策をすり抜けてネットワークに侵入できます。また、Web 2.0アプリケーションやソーシャルネットワークの利用がビジネスシーンにも浸透しつつある現在、不正なリンクや正規Webサイト上の不正広告をクリックするようユーザを誘導することが以前よりもはるかに容易となっています。

ボットネットの歴史

 現代に至るボットの歴史の中で、そのはじまりは「GMBot」でした。ただし、1980年代後半に開発されたGMBotは不正な活動を意図したボットではなく、IRCセッションで人間をエミュレートすることを目的としていました。不正な意図を持つボットが登場し始めるのは1999年頃のことです。以降、急速に巧妙さを増し、商品として販売されるボットも出現してきます。その1つが、2006年に登場したボットネット構築キット「Zeus」です。

 Zeusは、登場当初は数千ドルという価格で販売されていましたが、2011年半ばにソースコードが流出。同時期には「SpyEye」のコードも流出しており、事実上誰でも強力なボットネットを構築できる状態となっています。

zu012001.jpg

 現在、ボットネットは主に企業ネットワークへのバックドアとして使われています。ネットワークへの侵入に成功した攻撃者は、監視の目をかいくぐり、発見されるまでの間にできるだけ多くの情報を盗み出そうと密かに行動します。残念ながらボットは発見が非常に困難なので、多くの企業はボットの感染被害に気付かず、ボットがもたらす脅威を正しく認識できていないセキュリティ部門も多いのが実情です。

       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -