特集
» 2006年12月18日 12時00分 公開

年末緊急特番!ボットネット対策のすすめ:ボットネットは「オンライン犯罪のインフラ」 (1/3)

ボットネットは、スパムやフィッシング、スパイウェアといったさまざまなオンライン犯罪と密接に結び付き、そのインフラとして利用されている。

[野々下幸治,ITmedia]

本記事の関連コンテンツは「年末緊急特番!ボットネット対策のすすめ」でご覧になれます。


 インターネットでの経済活動の規模が大きくなるに従って、スパムやスパイウェア、フィッシングなど、一般のインターネットユーザーを狙ったオンライン犯罪の拡大が大きな問題となってきた。そのインフラとして利用されているのがボットネットである。しかも、そのボットネットに利用されているPCというのも、やはり一般の家庭のPCなのである。

 このボットネットの増加傾向は、2004年の初めごろから見られた。

 やや古いデータだが、シマンテックのインターネット脅威レポートによれば、2004年当初は1日に観測されるゾンビマシンの数は2000程度だったものが、2004年6月には3万以上観測されるようになった。しかし、同年8月にセキュリティ機能を強化するWindow XPのService Pack 2(SP2)が提供されると、いったんボットによるゾンビマシンの減少が見られた。

図1●2004年7月1日から12月31日にかけてのボットネットワークのコンピュータ数(シマンテックのインターネット脅威レポートによる)

 初期のボットは感染を広げるのに、Windowsのネットワーク上の脆弱性やネットワーク共有の脆弱性を利用し、インターネット上のPCを直接攻撃して感染を広げた。したがって、SP2によってファイアウォール機能が提供されたことにより、その感染活動ができなくなり、一時的に減少したとみられる。

 しかし、最近のいろいろな調査によれば、ボットはまた増加傾向にあり、むしろ2004年当時の規模をしのいでいる。SP2によりセキュリティ機能が提供されたにもかかわらず増加傾向にあるのは、犯罪者のほうもこのようなファイアウォールの環境に対応し、OSの脆弱性を狙う攻撃以外にも、いろいろな方法を使うようになったからだと思われる。

 現在、トロイの木馬を見ても、それ自身は多くの機能を持たず、インターネット上からほかのマルウェアを落としてくる「ダウンローダ型」が増加している。このダウンローダ型のトロイの木馬は、スパムで送信されてくるメール本文中のURLリンクをクリックして感染するほか、Webブラウザの脆弱性を攻撃して自動的に感染を行い、その後で、ボットなどそのほかのマルウェアをインストールする。

 ボットは、インターネット上ではこのようなダウンローダ型のトロイの木馬やメール感染型のワームを通じてPCにインストールされる。同時に、クライアントファイアウォールの設定が比較的緩く設定される社内においては、従来のようにネットワークの脆弱性を使って感染を広げ、従来にも増してその数を増やしていると思われる。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ