ボットネットとの戦いは「モグラたたき」

FBIのボット撲滅作戦「Operation Bot Roast」では、100万台を超えるPCがボットに感染していることが明らかになった。対策には広範な協力が必要だと専門家は述べる。

» 2007年06月21日 19時36分 公開
[Brian Prince,eWEEK]
eWEEK

 インターネットの治安を維持するのが簡単なことだなどとは誰にも言えないだろう。

 ボットハーダー(訳注:ボットをコントロールする「ボット使い」)らは、ときには数千台に上るコンピュータに侵入し、そのネットワークをコントロールしている。FBI率いる「Operation Bot Roast」(ボット丸焼き作戦)と名付けられた作戦によると、侵害されたコンピュータの数は100万を超えたという

 FBIの関係者は6月13日、この作戦の一環として3名の男性を逮捕した。シアトルのロバート・アラン、テキサス州アーリントンのジェームズ・C・ブリュワー、それにケンタッキー州コビントンのマイケル・ダウニーだ。

 しかしセキュリティ専門家らは、ボットハーダー側はますます手口を高度化させているという。彼らにとっての邪魔者たちの取り組みを妨げるためだ。

 カリフォルニア州サニーベールに本拠を置くMi5 Networksの関係者は、ボットは複数のコマンド&コントロールサーバ(C&Cサーバ)に接続されるようになってきたと指摘する。同時に、内部ネットワークをスキャンしてさまざまな脆弱性を探し出した上で、特定のマシンの脆弱性を狙ったエクスプロイト(攻撃コード)のペイロードを持ち込んでくるという。

 Mi5のCEO、ダグ・キャンプルジョン氏は、ボットネットとの戦いは「『モグラたたきゲーム』と化している」と述べた。

 「われわれの発見によれば、ボットネットは進化の第二段階に入ったことは明らかだ。もはやC&Cサーバを一台落とせばすむ話ではない。たとえすべてのC&Cサーバを切断したとしても、ボットは引き続きデータを収集し、ピアツーピアネットワークを介して広がり続けるだろう」と同氏は述べている。

 FinjanのCTO、ユーバル・ベン-イツァーク氏によると、ボットネットのオペレーターは、感染しながらそのことを目立たせなくするために、同氏言うところの「回避的攻撃」という新しいテクニックを使っているという。

 「大まかに言うと、ハッカーはデータベースの中に、検索エンジンやURLフィルタリングツールのクローラー(巡回プログラム)のIPアドレスを蓄積しておく。こうしたクローラーが分類のためにハッカーのサイトにアクセスしたときは、ハッカーのサーバはちゃんとしたコンテンツを提供する」(ベン-イツァーク氏)

 この結果、悪意あるサイトなのに、間違って普通のサイトに分類されてしまう。しかし、いざユーザーがそのサイトにアクセスすると、悪意あるコードがダウンロードされると同氏は説明した。

 「また、後々のフォレンジック活動によって発見されないよう、悪意あるコードは1人のユーザーに一度しか配信されないことも明らかになった」という。

 「最近の混合型ハッカーは、回避的攻撃とコードの難読化を組み合わせている。これにより、悪意あるコードが見えないようコントロールし、伝統的なアンチウイルス製品による検出を困難にして、より多くのPCに感染するための時間を稼いでいる」(同氏)

 著名なボクサーであるモハメド・アリはかつて「見えないものを殴ることはできない」といった。別の言葉で言えば、コンピュータへの感染を試みる悪意あるコードをホスティングしているサイトを見つけ出すことは、ボットネットのC&Cセンターを無効にするよりも困難だと言うことだ。

 ボットネット対策は、ユーザーとベンダー、警察、そしてISPらで総掛かりの協力が必要だという。

 「(典型的なエンドユーザーに比べ)ISPには、予期せぬユーザーからやってくる不要なトラフィックを検出する技術力がある。ISPは、悪用に関するデータを収集し、それに基づいて対応するポリシーを作り、実装すべきだ」と、サンフランシスコに本拠を置くCloudmarkのエマージングテクノロジー担当ディレクター、アダム・オドネル氏は述べた。

 「この種の活動は難しいかもしれない。だが、ISPは悪用を防ぐソフトウェアのプロバイダーと連携し、検出および修復のための戦略を実践すべきだ」(オドネル氏)

 同氏はさらに「この結果、ユーザーにシステムが感染していることを知らせ、ネットワークおよびコンテンツフィルタによってある種のトラフィックをブロックするために塀で囲まれた庭に閉じこめることになるかもしれない」と付け加えた。

 一方ベン-イツァーク氏は、企業および家庭ユーザーに対し、別のレイヤーのセキュリティ対策であるシグネチャベース、あるいはレピュテーションベースの製品とは対照的な、リアルタイムのコンテンツ検査を提供する製品を利用するよう勧めている。

 「私は議員たちに対しても、悪意あるコンテンツをホスティングしている企業に責任を負わせるよう促したい」と同氏は述べる。

 「悪意あるコードをホスティングしていることを通知され、しかるべき期間のうちにそれを削除するための対処を行わなかったならば、そのホスティング企業はサイバー犯罪に荷担しているということになる」(ベン-イツァーク氏)

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.