プロが語るボットネット対策の特効薬は「情報共有」（1/3 ページ）

巧妙かつ悪質化するボットネットの攻撃を前に、企業はどのような対策を取るべきなのか。RSA Conferenceで行われた脅威の現状と対策に関するパネルディスカッションを報告する。

[木村真，ITmedia]

　4月25日に東京都内で開催された「RSA Conference JAPAN 2007」で、「プロが語る情報セキュリティの真実〜脅威の現状とその対策〜」というパネルディスカッションが行われた。日経BP、日経パソコン副編集長の勝村幸博氏をモデレーターに、4人のパネリストたちがボットネットの脅威を中心に情報セキュリティの現状や対策について語った。

仮想環境でボットの活動を検証したら……

　ボットネットは、マルウェアに感染した子分の「ボット」たちが親玉の「ハーダー（Herder）」からの命令や遠隔コントロールに従い、何らかの悪意のある行為を実行するネットワークを指す。2002年ごろに「Agobot」が確認され、2005年には日本でも数十万程度の感染者が発見されている（関連記事）。

　そうした中で、ラックの先端技術開発部部長、新井悠氏は2006年にハニーポットを利用して、ウイルス対策ソフトウェアで検知可能なボット検体を6378個収集した。しかし、いざ仮想環境で動作させてみると「3割近くが異常終了し、2割が10秒以内に活動停止してしまった」という。

　原因を調べてみると、意外なことが判明した。通常、ボットネットの8割から9割はIRCサーバ経由でボットを操作している。しかし、最近はHTTPサーバによるボット操作へと変容しているのだ。つまり、活動停止したボットたちはHTTPサーバからの命令を聞く新しいタイプのボットということになる。

　「HTTPボット」とも言える進化系ボットは、脅威の変化を示唆している。IRCという枯れた技術を活用した従来のIRCボットは、一斉にボットへ命令を出すという機能に加え、P2Pを活用して自己更新を行う形へと進化した。

　そして今、HTTPボットは他のマルウェアやモジュールを感染PCに持ち込むダウンローダのほか、スパム送信用のプロキシやIRCデーモン、Rootkit、アップローダなどのマルウェアを持ち込む「プロシージャ」と呼ばれるマルウェアに進化した。「HTTP通信を利用することで、IDS／IPSでの検出はより困難になった。しかも、機能が洗練されてきているので目立たなくなっている」と新井氏は説明した。

HTTPサーバを利用して操作される「HTTPボットネット」の登場

　こうした背景を受け、総務省および経済産業省では「ボット対策プロジェクト」を立ち上げた（関連記事）。

　これは、Telecom-ISAC Japan（日本データ通信協会）がハニーポットで攻撃を収集し、その検体を基にJPCERTコーディネーションセンター（JPCERT/CC）が駆除ツールを作成したり、情報処理推進機構（IPA）がウイルス対策ベンダーに検体を提供して市販のツールでの対策に反映させるというプロジェクトだ。同時に、ISPの協力を得て感染者にメールで通告し、ポータルサイト「サイバークリーンセンター」から駆除ツールをダウンロードできるよう公開している。

　駆除ツールを配ることは「短期対策として有効」とJPCERT/CC経営企画室の伊藤友里恵氏は評価しており、同時に、なぜ感染したかという傾向分析と注意喚起を行う体制も進めているという。なお、分析傾向レポートは今年5〜6月に発表する予定だ。

一般企業を標的にするボット

　では、ボットネットの現状は実際どうなっているのか。

　2007年2月から同プロジェクトで本格的にボットの収集を始めたところ、わずか2カ月で97万4999の検体が検出されたという。うち同定検体数は3万1082種で、「2年前までは1年間かけて1万7000種とれるのがやっとだったのが、今は2カ月で倍近くが検出される」とNTTコミュニケーションズ、法人事業本部企画戦略部門長の小山覚氏は説明した。

　JPCERT/CCでは2007年3月に、特定のグループをターゲットに攻撃する「標的型攻撃」、別名「スピア型攻撃」について2000社の企業にアンケート調査を実施した。それによると、有効回答数282社のうち標的型攻撃を経験したという回答は11.7％あり、7.8％は過去1年間のうちに被害に遭っていると回答した。これまで政府機関が対象と思われていた標的型攻撃は、今や一般企業にも的を当てていることになる。

　しかし、本当に恐ろしいのは、自社の社員を装った電子メールを利用してマルウェアを送り込んだり、特定の会社に対してサービス運用妨害（DoS）攻撃を仕掛けるぞと脅迫するといった事例のように、「ソーシャルエンジニアリングやマーケティングなどを精緻した手法を活用して攻撃してくる」ことだ（小山氏）

　企業側も「対応部署の明確化や情報セキュリティの管理部署の一元管理をしていると7割前後が回答」（伊藤氏）しているとおり、対策を進めている。しかし、巧妙なソーシャルエンジニアリングを完全に避けることは困難だ。