企業ネットワークへのバックドアと化すボットネット（2/2 ページ）

[Tomer Teller，Check Point Software Technologies]

今後の見通し

　2012年のボットネットは、ソーシャルエンジニアリングとゼロデイ攻撃を組み合わせてさらに進化し、普及が進むモバイルデバイスやソーシャルネットワークを悪用するようになると予想されます。

　これまで、有名なボットネットの大半はWindowsマシンで構成されていると考えられていました。しかし現在では、“LinuxやMacベースのシステムならボットと無縁”と決め込むことはできなくなくなっています。また複数のプラットフォームに加えて、iOS、Androidおよび、その他のモバイルデバイスに対応するボットネットも登場すると見込まれ、3G回線やWi-Fiネットワーク経由で指令（C&C）サーバと通信するでしょう。

　ソーシャルネットワークをC&Cセンターとして使う動き（英文による関連記事）が拡大している事態も懸念されます。 昨今では、ソーシャルネットワークやインスタントメッセンジャーなどのWebベースのサービスがマルウェアの遠隔操作に利用されるケースが増え、マルウェアへの指令が暗号化されるようになっています。TwitterなどソーシャルネットワークサービスをC&Cサーバとして利用すれば、サーバ管理などのコストをかけずに手早くマルウェアへの指令手段を確保し、不要になったらいつでも破棄できます。

新たなソーシャルエンジニアリング手法の活用

　ボットの感染拡大を狙って、ソーシャルエンジニアリングを利用した新たなハッキング手法が用いられるケースも増えています。またソーシャルネットワークの普及は、個人の私生活や仕事に関する情報の収集を容易にし、ソーシャルエンジニアリング攻撃やボットネット攻撃、APTの実行を後押ししているという側面もあります。チェック・ポイントの調査によると、攻撃の最大の動機については、過半数（51％）が「金銭的な利益の追求」と回答し、次いで「競合企業に対する優位性の確保」（40％）や「報復」（14％）が続きます。また被害額はインシデント1件当たり2万5000ドルから10万ドルに上ります。

　ボットネット攻撃に利用できるツールやリソースは、現在ではいとも簡単に入手できます。残念ながら、攻撃者との戦いは“いたちごっこ”にならざるを得ません。アンチウイルスベンダーが新しいシグネチャを公開すれば、マルウェア作者は対抗して新たな亜種を作り出します。ただ幸いと言えるのは、捜査当局や大企業、セキュリティ専門家が問題の深刻さを理解し、真剣にボットネットの撲滅に取り組み始めたことです（Rustockが閉鎖されたのもその成果です）。C&Cサーバを停止させれば、ボット管理者はボットネットをコントロールする術を失い、それ以上感染を拡大できなくなります。既に無数の企業がボットやAPTの標的となっており、対岸の火事ではなく各企業が責任を持って感染拡大の阻止に努める必要があります。