さまざまな経路で忍び込むボット、その感染を防ぐコツは？：年末緊急特番！ボットネット対策のすすめ（2/3 ページ）

[野々下孝治，ITmedia]

　画面4は、2005年末に公表されたWMF（Windows Meta File）の脆弱性を使ってトロイの木馬をインストールさせようとしているWebサイトのスクリーンショットだ。

WMFの脆弱性を悪用したファイルのダウンロードに対し、警告ウインドウが表示されたところ

　ここではFirefoxを使ってアクセスしているため、トロイの木馬を仕込むWMFファイルのダウンロードを行おうとしていることを警告するウインドウが表示されている。またMcAfeeの対策ソフトウェアでも、WMFの脆弱性の攻撃を検知し、警告を表示していることが分かる。

　だがもし、対策ソフトもなしに、脆弱なIEを使ってこのWebサイトにアクセスした場合は、こうした警告なしにいきなりトロイの木馬がインストールされてしまう可能性が高い。十分注意したい。

　なお、最近のアンチウイルスソフトやクライアント向けのセキュリティスイート製品の中には、脆弱性を狙う攻撃を検知する機能を搭載するものが増えてきた。こうしたセキュリティ対策製品を利用していれば、画面4のように、たとえOSやブラウザが脆弱であってもトロイの木馬検知し、その侵入をブロックすることができる。

　ただしこれも、攻撃側とのいたちごっこだ。最近ではVoMM（eVade o' Matic Module）と呼ばれる、攻撃コードを対策ソフトから検知されにくくする技術が開発されている。

　スパマーは、フィルタリングをすり抜け、スパムやフィッシングメールの検知を難しくするために、メール本文中にランダムに空白を入れたりエンコードを加えたりして、判読を難しくしている。これと同じようなテクニックを、Webブラウザの脆弱性を狙う攻撃コードの中に仕込む技術がVoMMだ。これを用いると、攻撃コードに含まれる「特定の文字列」でマルウェアを判断するシグネチャによる検知が回避される恐れがある。

　よってボットの対策としては、一般に言われているパッチ適用による脆弱性対策、ファイアウォール／IDSの導入だけでは不十分だ。下記のような、トロイの木馬を含む総合的なマルウェア対策が欠かせない。

1. OSだけでなくアプリケーションも含め、ソフトウェアを常に最新の状態にしておく
2. 安易なパスワードを利用しない
3. インターネットを利用する場合は「制限ユーザー」でログインする
4. IE以外のブラウザを利用する
5. ファイアウォールやIDSを導入する
6. ウイルス対策だけでなくスパイウェア対策も実施する
7. 既知のスパイウェアの通信サイトとの通信をブロックする
8. マルウェア配布サイトのURLをブロックする

　では、それぞれの項目について簡単に解説しよう。