ニュース
» 2014年11月28日 08時00分 UPDATE

Maker's Voice:ボットの不正通信を遮断する機能、セキュリティソフトに新たな流れ

マルウェアによるネットバンキング詐欺や情報漏えいなどの被害が増えていることから、セキュリティソフト側で不正な通信を遮断する機能をESETが搭載した。同社のウイルスラボ責任者は、「従来の検知や駆除に加え、被害抑止も必要」と話す。

[國谷武史,ITmedia]

 セキュリティ企業のESETと国内パートナーのキヤノンITソリューションズは、12月に発売するセキュリティソフトの最新版製品に「ボットネット プロテクション」という新機能を搭載する。従来のセキュリティソフトはマルウェアの検知と駆除という「入口対策」がメインだったが、新機能は感染後の被害を抑止する「出口対策」にもフォーカスしたものだという。

eset001.jpg ESET チーフリサーチオフィサーのユライ・マルホ氏

 ESET チーフリサーチオフィサー(ウイルス解析ラボ責任者)を務めるユライ・マルホ氏は、2014年にみられたセキュリティ脅威動向として、オンラインバンキング詐欺を働くマルウェア「W32/Aibatook」の日本での感染拡大や、Linuxマシンの管理者などの権限を盗むサイバー攻撃、「BlackEnergy」という東欧諸国を狙ったサイバースパイ活動を挙げる。

 W32/Aibatookは、改ざんされた国内のアダルトサイトなどを通じて感染し、金融機関のオンラインバンキングサービスに関するユーザーの情報やホスティング事業者などのアカウント情報を盗み出すという。マルホ氏によれば、少なくとも2つの大規模金融機関と90以上のWebサイトが標的になった。

 特にオンラインバンキングサービスでは、マルウェアがユーザーとサービス間の通信に割り込み、画面などを巧妙に改ざんするなどして情報を盗み出したり、不正送金を行ったりする攻撃での被害が国内で多発した。攻撃には様々な種類のマルウェアが使われており、W32/Aibatookはそうしたものの1つだ。

 Linuxに対する攻撃では攻撃者が、適切に管理や設定がされていないコンピュータの管理者権限を奪い、約2万5000台のコンピュータで構成される「ボットネット」を構築していたという。攻撃者は、支配下に置いた「ボットネット」を遠隔操作し、マルウェアやスパムメールをばらまいたり、詐欺犯罪やシステム障害を引き起こすサイバー攻撃を仕掛けたりする。BlackEnergyではウクライナやポーランドを中心に、100以上の組織から機密情報を盗むスパイ行為が少なくとも2007年頃から繰り返されたという。

 これらの脅威に共通するのは、攻撃者がマルウェアを使って感染先のコンピュータを遠隔から不正に操作している点だろう。遠隔操作機能などを持つマルウェアは「ボット(もしくはバックドア)」、ボット型のマルウェアに感染して遠隔操作されてしまう状態にあるコンピュータは「ボットマシン(もしくはゾンビマシン)」などと呼ばれる。複数のボットマシンで構成されたネットワーク型のシステムが「ボットネット」だ。

 ユーザーのコンピュータがボットマシンになってしまうと、ユーザーの情報が盗まれるといった被害に遭うだけでなく、別のコンピュータに対する攻撃の踏み台にされてしまう。さらには、警察当局やセキュリティ機関などからユーザーが「加害者(の一味)」とみなされる事態にもなりかねない。

 基本的な対策は、やはりコンピュータの脆弱性を可能な限り解消させ、セキュリティソフトを最新の状態に維持することで、ボットの侵入を検知し、感染を未然に防ぐこととなる。ただ、ボットを含むマルウェアは次から次に新たなものが無数に出現するようになり、特にマルウェアを特定する定義ファイルを用いての検知や駆除が追い付かない状況だ。

 このためマルホ氏は、近年のセキュリティ製品ではマルウェアの可能性が疑われる挙動などを頼りに検知する技術を複数用いることで、仮に1つの技術で検知を見逃しても他の技術で見逃さないようにする仕組みを講じてきたと話す。新機能の「ボットネット プロテクション」についても、仮にコンピュータがボットに感染してしまっても、ボットが外部の攻撃者サーバと通信を行う特徴をプロトコル単位で監視し、疑わしいものを検知する。悪意のある可能性が高い通信であれば、通信を遮断して遠隔操作されたり、機密情報が発信されたりするのを阻止するという。

 「1990年代のウイルス対策ソフトは検知と駆除によってウイルスの侵入を止めることが目的だった。現在はいかに検知するかが焦点になっているものの、検知だけでは感染は止められない。検知によって感染を防ぎ、それが難しい場合でもユーザーが被害に気付いて、被害の拡大を抑止できることが必要だ」(マルホ氏)

 既に企業向けのネットワーク型のセキュリティシステムでは、ボットによる不正な通信を検知、遮断する機能が提供されつつある。同社はこれをコンシューマー向け製品にも搭載した格好だが、今後のセキュリティソフトでは従来の「入口対策」に加え、マルウェア感染後の被害を抑止する「出口対策」の機能も重要になるとみられる。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -