ますます見えなくなるボットに注意を――ラック

ラックによると、ボットやスパイウェアの悪質化が進み、ユーザーにそれと気づかれないよう活動する傾向が強まっているという。

» 2005年10月07日 09時07分 公開
[高橋睦美,ITmedia]

 「ウイルスやスパイウェアの作者は、ただの愉快犯から金銭を目的とした犯罪者へと変質してきた。またウイルスの手口も、昔は感染すると怪しい挙動を取ったりマシンが不安定になるためすぐ気づくことができたが、今は安定して動作するようになり、実害が発生してから初めて感染に気づくような状態だ。にもかかわらずユーザー側の意識は変わっていない――」。

 ラックの取締役執行委員、SNS事業本部長を務める西本逸郎氏は、最近のセキュリティ動向に関する説明会の中でこのように現状に警告を鳴らした。

 同社は広くセキュリティ事業を展開しており、コンサルティングのほか、攻撃手法や脆弱性に関する研究、JSOC(Japan Security Operation Center)からの顧客のリモート監視などを手がけている。このJSOCでの観測状況からは、いくつか興味深い事実が浮かんでくるという。

 たとえば、今年春には、Webアプリケーションを狙ったSQLインジェクション攻撃が多発した。その攻撃元を調べてみたところ、1月から7月にかけての数カ月間で、韓国や中国からの攻撃が以前の5〜10倍へと急増していることが明らかになった。

 西本氏は、「これだけ変化の仕方が大きいということは、人手によるものではなく、ウイルスによるボットの埋め込みが本格化しているのではないか」と推測。スパムメールの出所として両国が多いことからも、ボットを埋め込まれてゾンビ化したPCが多く存在するのではないかとした。

西本氏 ボットは見つかりにくい形へと悪質化していると指摘した西本氏

 ボットがやっかいなのは、攻撃者からの指示を待つ間は息を潜めているため、ユーザーが感染に気づきにくい点だ。その上、「ボットネットはスパムメールやフィッシング送信といった不正アクセスのためのインフラとなっている。『業者』としてはこのインフラを維持する必要性があるため、ユーザーに見つからないために、また勢力を維持するためにもひんぱんにバージョンアップされる」(西本氏)。

 その意味で8月に発生した「Zotob」ワームは、ボットネット業者が品質管理に失敗した例だという。Zotobワームは「PCの再起動を繰り返すもの」として報道されたが、実際には、以前から巣食っていたボットが、犯人のミスで見つかってしまったものととらえるべきという。

 ボットは日本国内でも感染を広げているという。JPCERT/CCとTelecom-ISAC Japanは共同でボットネットの実態把握調査を行ってきたが、この結果、日本のユーザーの2〜2.5%がボットに感染しており、総数は40〜50万に上ると推測されるという。

 しかも、この調査で観測されたボット3705個のうちウイルス対策ソフトで発見できたのは2割程度の767個。残る2938個は観測時点では「未知」のものであり、検出できなかった。

見えなくなる脅威

 これに関連して同社代表取締役社長の三輪信雄氏は、現在のウイルス対策ソフトやビヘイビア(振る舞い)検出を潜り抜けてくるウイルスやボットが出てくるだろうし、現に見つかっていると述べた。同時に、社内やイントラネットでもボットが広まっている可能性を指摘している。

 「インターネットで数割という感染率なのだから、社内に入っていないわけがない。しかしながら静かに広がっている脅威であり、どれだけ広がっているかつかめない」(三輪氏)。

 また、既存のウイルス対策ソフトをかいくぐり、見つけられないように悪質化する傾向はスパイウェアにも見られると西本氏。PCに入り込む際の手口も高度化しており、「あらかじめターゲットを絞った上でソーシャルエンジニアリング的な手段を組み合わせるなど、あの手この手でやってくる」(同氏)。

 ウイルスやスパイウェアの巧妙化はさらに進んでいるという。同社コンピュータセキュリティ研究所主任研究員の新井悠氏は「普通のウイルス対策ソフトウェアでは検出できず、一般のユーザーには削除できないものが増加している」とコメントし、「見えない」タイプの脅威が増加していると指摘した。

 「『ついにここまできたか』というのが率直な印象で、いわゆるrootkit型だけでなく、ブートセクタに感染するものも登場している。対策は一筋縄ではいかず、復旧は困難だ」(同氏)。技術面だけでなく手口も高度化し、特定のユーザーに的を絞ったものが登場しつつあるという。

 このように高度化するボットやスパイウェアは、どうすれば発見できるのだろうか。西本氏は、「ファイアウォールやブロードバンドルータの設定を見ると、外側から内側に対しては固めていても、内側から外側には自由に出られるというケースが非常に多い」とし、まずこの設定を見直すことが重要だとした。

 同時に「機械を入れてそれで安心することはできない。監視することが大事」(同氏)。IRCなど不要と思われる通信を止めた上できちんと監視とチェックを行うことによりある程度発見は可能であり、仮に感染したとしても最悪外に被害を及ぼさないようにできるとした。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ