さあ冬休み、マルウェア対策でPCをクリーンアップしませんか?年末緊急特番!ボットネット対策のすすめ

Telecom-ISAC Japanの企画調整部副部長、小山覚氏は、まとまった時間が取れる冬休みを機に、マルウェア一掃を兼ねてOSを再インストールしてみてはどうかと提案する。

» 2006年12月28日 19時00分 公開
[高橋睦美,ITmedia]

本記事の関連コンテンツは「年末緊急特番!ボットネット対策のすすめ」でご覧になれます。


 「冬休みで時間があるときがチャンス。OSの再インストールをして、PCをきれいにしてみませんか?」――Telecom-ISAC Japanの企画調整部副部長、小山覚氏の呼び掛けだ。同氏は、NTTコミュニケーションズの立場から、12月12日付でスタートした「サイバークリーンセンター」(CCC)の運営も担当している。

 「一年の計は元旦にある。新しいシャツを下ろすのと同じように、PCをクリーンアップしてみてはどうだろう」(小山氏)

 同氏がPCの大掃除を提案するのには、訳がある。ボットをはじめとする最近のマルウェアは、100%完全に駆除するのが困難だからだ。

 たとえ最新の状態のウイルス対策ソフトを用いていても、いったんボットがPCに忍び込んでしまうと、後から追加モジュールをダウンロードして自分自身の姿を変えてしまい、発見できない可能性がある。またRootkit技術が用いられれば、専門家ならばともかく、一般ユーザーには発見すら困難だ。こう考えると、マルウェアを一掃するには、OSごと再インストールを行い、PCをすっかりきれいにしてしまうほうがいいかもしれないと小山氏は述べた。

 「もちろん、重要なデータはしっかりバックアップをとった上で行ってほしい」(同氏)。

 また、パッチを当てていない素のマシンをそのままインターネットに接続することは、ワームやボットへの感染という大きなリスクがともなう、半ば自殺行為である。再インストール後は、Windows XPであればService Pack 2(SP2)とその他のパッチを速やかに適用することが重要だ。ブロードバンドルータを利用しているのであればその下で、そうでなければ、一端オフラインの状態でOSのファイアウォール機能を有効にしたうえでMicrosoft Updateを行う。

 小山氏によれば、その際、普段はあまり気にとめないであろうブロードバンドルータの設定を再チェックすることもお勧めだという。特に、オンラインゲームやP2P型ファイル共有ソフトを利用している場合、不要なポートが開けっぱなしになっていないかどうか確認したほうがいいという。

 自分のマシンには、一見おかしなところは見られないから、そんな作業は不要だという意見もあるかもしれない。しかし、ボットに代表される最近のマルウェアは、ますます「見えない化」「ステルス化」している。

 以前は、感染するとPCの動作が重くなるといった症状が出ることから、「何か変だな」と自分で気付くことができた。しかし皮肉なことに、マシンの性能やネットワーク接続速度の向上により、そうした「気付き」が困難になっている。また、ボットが備える「更新」機能によって、はじめは危険ではないように装っておきながら、あとからさまざまなモジュールを追加し、高いリスクを招く恐れがあると小山氏は警告している。

 企業ネットワークについても同様で、脅威の可視化は困難な課題になっている。作者側は、きちんとウイルス対策ソフトの検出をすり抜けることを確認してからボットを世に放っている。小山氏は「おそらく企業内にもボットは入ってきているだろう。入ってきているという前提で対策を考えるべき」と言う。

 では、年末年始休暇の間に企業ネットワーク管理者にできる対策はないだろうか。人がオフィスから消え、通常のトラフィックが減るこの時期に、ネットワークを流れるパケットをじっくり見てみてはどうだろうと小山氏は提案する。

 「平日の間はノイジーなネットワークも、休日はきれいになっているはず。この時期にパケットを見てみれば、自動的に動いているマルウェアや不審なサイトへの通信を見つけるいいチャンスになるだろう。放置されたままのサーバなども見つかるかもしれない」(同氏)

ルアーフィッシング化したアプローチ

 小山氏は以前から、ボットおよびボットネットの調査プロジェクトに携わってきた。最近見られる意外な傾向として、ボットの「粗悪化」があるという。

 1〜2年前のボットは、「Rxbot」に見られるように多くの機能を備え、ソースコードも比較的美しかった。ところが最近のボットは、「スパム送信のためのプロキシならばそれだけ、という具合に単機能化が進んでいる」(小山氏)。

 具体的には、仮想マシンや対策ソフトを検出したら自分自身の動作を抑えるといった高度な機能がなくなり、「とにかくPCに住み着いてスパムを投げるだけ」という感じの「職人型」が増えているという。逆に言えば、身を隠す機能を持たないこうした単機能型ボットでも十分なほど「それだけ脆弱なPCが多いと言うこと」(小山氏)

 もう1つ、対象を絞ったターゲット型攻撃との関連の深まりにも注意が必要という。

 あくまで1つの仮説としてだが、小山氏は、攻撃者が「ルアーフィッシング」のようなアプローチを試みているのではないかと述べた。まずさぐりを当てて反応を見て、改良を加えては別のところに糸を垂らし……という具合にトライ&エラーを繰り返し、うまく監視の目をかいくぐりながら「魚群」を探し当てようとしているのではないかというシナリオだ。

 この場合、ボットは何らかのソーシャルエンジニアリング的な手法によって組織/企業ネットワーク内部に入り込む。こうしたターゲット型攻撃に用いられるボットを追いかけてみたところ、「機能がちょっとずつ追加され、よりうまく動作するように進化しているのではないかと思える」(小山氏)。こうなると、よほどしっかりモニターしていないと気付くことは困難だ。

 「繰り返しになるが、ボット対策にはかっこいい特効薬はない」(小山氏)。生活習慣病対策と同じように、ユーザーのリテラシーを上げていくという地道な作業を進めていくことが解決策だという。

 例えば、「パッチを適用する」「不審な添付ファイルは開かない」「怪しいWebサイトにはアクセスしない」といった基本的なルールを徹底し、さらに対策ソフトなどを導入する。その上で、だとしても必ずしも安全だとは限らない、という認識を持ち、事故を前提とした対策も考えていくことが必要だという。

 ボットを操り、攻撃を仕掛けてくる側の「ビジネス」化が進んでいるとすると、「日本のセキュリティ水準が少し上がれば、悪さをしようとする人にとって使いにくいネットワークになり、狙われなくなるのではないか」(同氏)。継続的な注意喚起を通じて、日本全体のセキュリティレベルの底上げを図り、ユーザー1人ひとりの行動を変えていければと述べている。

関連キーワード

マルウェア | ボットネット | パッチ


Copyright © ITmedia, Inc. All Rights Reserved.