進化するボットネット、P2Pも活用
ボットネットは今、悪質になっている。それが見えてきた。
およそ40人のセキュリティ研究者が4月10日に、Usenix主催の初のボットネット専門のイベントに集まった。招待制のこのHotBotsイベントは米マサチューセッツ州ケンブリッジで開かれた。
研究者らはこのイベントで、ボットネット――スパム送信や金融・個人データの窃盗に利用するために何者かが乗っ取った数万、数十万のゾンビPCで構成される――は技術的な飛躍を遂げ、もっと弾力性のあるアーキテクチャと、追跡や監視、無効化を困難にするさらに高度な暗号化を手に入れつつあると警告した。
具体的に言うと、セキュリティ研究者はP2Pアーキテクチャを取り入れた弾力性のあるボットネットという初期の発展の段階に気付いた。ボットネットは従来、1つの指揮ポイントを持つ階層型構造をしている。このような中央集権化は研究者にとってはありがたいことだった。「Single Point of Failure(その部分が故障したら、システム全体が止まってしまう点)」に注目すればいいからだ。
しかしP2Pボットネットには中央集中型の指揮ポイントはない。ネットワーク内の各ノードがクライアントとしてもサーバとしても機能し、中央のチョークポイントを排除する。個々のノードをオフラインにできても、ネットワークの空隙はボットネットの運営や攻撃者の制御に影響なく埋められる。
「P2Pネットワークは、われわれが直面している最大の課題だ」とArbor Networksの上級セキュリティエンジニア、ジョゼ・ナザリオ博士はeWEEKの取材に応えて語った。「悪党はこれを知っている。(P2Pボットネットの閉鎖が難しいのは)メディア企業がP2Pネットワークを閉鎖するのに苦労しているのと同じ理由だ」
P2Pボットネットはまったく新しいものというわけではない。HotBotsで発表された「Peer-to-Peer Botnets: Overview and Case Study」という論文で、ジュリアン・B・グリザード氏、デビッド・ダゴン氏、ビクラム・シャルマ氏、クリス・ナナリー氏、ブレント・ビョンフン・カン氏は、少なくとも1998年から悪意あるボットの増加が見られ、mIRCの実行可能ファイルとスクリプトをベースにしたIRCボット「GTBot」の亜種が出現していたことを示す年表を掲載している。最近のP2Pボットネットの例としてはStormワームがある。これはPeacomm Trojanとも呼ばれる。Stormワームは1月にスパムを介して感染を拡大し、2月にはインスタントメッセージング(IM)プラットフォーム経由で広がる亜種が出現した。
研究者らは、4月9日の週にStormワームが再度現れ、最新の亜種を運ぶスパムが200万通以上送られたと指摘している。第一波のスパムは最近の本物あるいは偽物のニュースの見出しを使ってユーザーに不正なファイルを実行させようとしていたが、先週は「トロイの木馬が検出されました」「ワームの活動が検出されました」といった件名を利用していた。
P2Pボットネットは新しいものではないが、設計やモジュール式コード基盤という点で最近進歩を遂げていると前出の論文執筆者らは主張、特にAgobotボットネットは「ボットネットがさらに大きな脅威になったターニングポイント」だとしている。
「P2Pボットは今や広く開発されている。一部のP2Pボットは既存のP2Pプロトコルを使っているが、カスタムプロトコルを開発したものもある。P2Pボットネットは、従来の分散型C&Cアーキテクチャよりも広まるレベルにまで成熟するだろう」と論文執筆者らは言う。
ボットネットと戦う上でもう1つ問題となるのが、ウイルス対策ソフトのアップデートが必要なことに気付かない、技術に疎いコンピュータユーザーだとナザリオ氏は語る。「ウイルス対策ソフトをアップデートしておらず、アップデートが必要なことも知らない人がいる。そんなふうに時代後れになっている保護対策を目にする」
こうした高度なボットネットに対して何をすればいいのだろうか? ナザリオ氏は、Arbor Networksは今、P2Pネットワークの既知のノードを探していると語る。同社は、ウイルス対策ソフトベンダーなど多数のパートナーと協力し、マシン上のボットを検出するコードが確実にアップデートされるようにしようとしている。また同社は、従来型ボットネットのコマンドサーバへのアクセスを遮断するためにインターネット事業者とも協力している。「ボットネットを遮断できれば、マシンはまだ感染していても、損害は大幅に抑えられる」とナザリオ氏は語る。
企業が最も効率的にボット問題に対処する方法の1つは、悪質なサイトとホストをブラックリストに載せて、アクセスを遮断することだ。それでも、ウイルス対策ソフトのシグネチャへの取り組みは「軍拡競争」だとナザリオ氏は話す。「常に1日くらい後れを取っている」。「われわれがボット経済圏――botconomicsと言う人もいる――で目にするお金がボットマスターの動機になっており」、従って攻撃者は常に、技術の進歩と新しいボットネット構築に関して、追う者の一歩先を行っていると同氏。
ボットネットウォッチャーは、もっと強力な暗号化に向かうトレンドも目にしている。攻撃者は暗号化を、ネットワークに追加されたボットが、ボットネットに潜入して遮断しようとしている研究者のノードではなく、本物であることを保証するために使っている。
この点で朗報なのは、通常は攻撃者はあまり優れた暗号化アルゴリズムは書かないということだ。「こうしたアルゴリズムを破るのは非常に容易だ。われわれはたいてい優秀な人々を抱えており、このような自家製暗号をかなり簡単に破れる。暗号鍵は公開されているため、それを入手して既存の暗号とアルゴリズムを使えばボットネットワークに参加できる」とナザリオ氏は語る。
関連記事
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。