ボットの不正通信を遮断する機能、セキュリティソフトに新たな流れ:Maker's Voice
マルウェアによるネットバンキング詐欺や情報漏えいなどの被害が増えていることから、セキュリティソフト側で不正な通信を遮断する機能をESETが搭載した。同社のウイルスラボ責任者は、「従来の検知や駆除に加え、被害抑止も必要」と話す。
セキュリティ企業のESETと国内パートナーのキヤノンITソリューションズは、12月に発売するセキュリティソフトの最新版製品に「ボットネット プロテクション」という新機能を搭載する。従来のセキュリティソフトはマルウェアの検知と駆除という「入口対策」がメインだったが、新機能は感染後の被害を抑止する「出口対策」にもフォーカスしたものだという。
ESET チーフリサーチオフィサーのユライ・マルホ氏ESET チーフリサーチオフィサー(ウイルス解析ラボ責任者)を務めるユライ・マルホ氏は、2014年にみられたセキュリティ脅威動向として、オンラインバンキング詐欺を働くマルウェア「W32/Aibatook」の日本での感染拡大や、Linuxマシンの管理者などの権限を盗むサイバー攻撃、「BlackEnergy」という東欧諸国を狙ったサイバースパイ活動を挙げる。
W32/Aibatookは、改ざんされた国内のアダルトサイトなどを通じて感染し、金融機関のオンラインバンキングサービスに関するユーザーの情報やホスティング事業者などのアカウント情報を盗み出すという。マルホ氏によれば、少なくとも2つの大規模金融機関と90以上のWebサイトが標的になった。
特にオンラインバンキングサービスでは、マルウェアがユーザーとサービス間の通信に割り込み、画面などを巧妙に改ざんするなどして情報を盗み出したり、不正送金を行ったりする攻撃での被害が国内で多発した。攻撃には様々な種類のマルウェアが使われており、W32/Aibatookはそうしたものの1つだ。
Linuxに対する攻撃では攻撃者が、適切に管理や設定がされていないコンピュータの管理者権限を奪い、約2万5000台のコンピュータで構成される「ボットネット」を構築していたという。攻撃者は、支配下に置いた「ボットネット」を遠隔操作し、マルウェアやスパムメールをばらまいたり、詐欺犯罪やシステム障害を引き起こすサイバー攻撃を仕掛けたりする。BlackEnergyではウクライナやポーランドを中心に、100以上の組織から機密情報を盗むスパイ行為が少なくとも2007年頃から繰り返されたという。
これらの脅威に共通するのは、攻撃者がマルウェアを使って感染先のコンピュータを遠隔から不正に操作している点だろう。遠隔操作機能などを持つマルウェアは「ボット(もしくはバックドア)」、ボット型のマルウェアに感染して遠隔操作されてしまう状態にあるコンピュータは「ボットマシン(もしくはゾンビマシン)」などと呼ばれる。複数のボットマシンで構成されたネットワーク型のシステムが「ボットネット」だ。
ユーザーのコンピュータがボットマシンになってしまうと、ユーザーの情報が盗まれるといった被害に遭うだけでなく、別のコンピュータに対する攻撃の踏み台にされてしまう。さらには、警察当局やセキュリティ機関などからユーザーが「加害者(の一味)」とみなされる事態にもなりかねない。
基本的な対策は、やはりコンピュータの脆弱性を可能な限り解消させ、セキュリティソフトを最新の状態に維持することで、ボットの侵入を検知し、感染を未然に防ぐこととなる。ただ、ボットを含むマルウェアは次から次に新たなものが無数に出現するようになり、特にマルウェアを特定する定義ファイルを用いての検知や駆除が追い付かない状況だ。
このためマルホ氏は、近年のセキュリティ製品ではマルウェアの可能性が疑われる挙動などを頼りに検知する技術を複数用いることで、仮に1つの技術で検知を見逃しても他の技術で見逃さないようにする仕組みを講じてきたと話す。新機能の「ボットネット プロテクション」についても、仮にコンピュータがボットに感染してしまっても、ボットが外部の攻撃者サーバと通信を行う特徴をプロトコル単位で監視し、疑わしいものを検知する。悪意のある可能性が高い通信であれば、通信を遮断して遠隔操作されたり、機密情報が発信されたりするのを阻止するという。
「1990年代のウイルス対策ソフトは検知と駆除によってウイルスの侵入を止めることが目的だった。現在はいかに検知するかが焦点になっているものの、検知だけでは感染は止められない。検知によって感染を防ぎ、それが難しい場合でもユーザーが被害に気付いて、被害の拡大を抑止できることが必要だ」(マルホ氏)
既に企業向けのネットワーク型のセキュリティシステムでは、ボットによる不正な通信を検知、遮断する機能が提供されつつある。同社はこれをコンシューマー向け製品にも搭載した格好だが、今後のセキュリティソフトでは従来の「入口対策」に加え、マルウェア感染後の被害を抑止する「出口対策」の機能も重要になるとみられる。
関連記事
ウイルス対策ソフト、製品の自衛策は万全?
AV-TESTはコンシューマー向けウイルス対策ソフト24製品と、企業向け8製品について、セキュリティ機能のASLRとDEP(データ実行防止)の利用状況を調べた。
ウイルス対策ソフトは「どれも同じ?」「効果なし?」――その疑問に答えよう
セキュリティソフト会社幹部の「ウイルス対策ソフトは死んだ」という発言が話題になった。ウイルス対策ソフトに対する疑問を持つユーザーが多いので、専門家の立場から見解を述べてみたい。- キヤノンITS、セキュリティソフト「ESET」最新版公開 ボット対策を搭載
- セキュリティソフトのこれからは? マカフィーが個人向け製品を刷新
- カスペルスキー、盗撮対策を搭載した2015年版セキュリティソフト発表
- ウイルスバスターがバージョンアップ、脆弱性対策機能を投入
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。