ニュース
» 2007年11月28日 20時29分 公開

600万台のPCが“ハイジャック”されている:あなたのPCが“重い”のは、オンライン犯罪に協力しているから?――「ノートン・アンチボット」発表会

シマンテックがボットネット対策に特化した個人向け製品を発表した。同社はボットの増加によって善良な第三者がオンライン犯罪に荷担している可能性を指摘する。

[後藤治,ITmedia]
シマンテック営業統括本部 執行役員 統括本部長 大岩憲三氏

 シマンテックは11月28日、ボットネット対策に特化した個人向けセキュリティソフト「ノートン・アンチボット」(以下、アンチボット)を発表した。価格は3990円。ダウンロード版のみの提供で、同日より販売を開始する。

 アンチボットは、PC内のプロセスを常時監視し、プログラムのあやしい挙動をヒューリスティックに検知するため、既知・未知のセキュリティリスクに関わらず保護効果を発揮できるのが特徴。また、システムにかける負荷が小さく、ほとんどのセキュリティ製品と併用できるという。

 発表会の冒頭に登壇したシマンテック営業統括本部 統括本部長の大岩憲三氏は「オンライン犯罪の95%が個人ユーザーをターゲットにしたものだが、最近はユーザーが知らないうちにボットネットワークの一部になって、大規模な犯罪に荷担している現状が浮かび上がっている」と最新のセキュリティリポートについて語り、「今回の製品によって、一歩先を行くさらに高いレベルのセキュリティを実現できると自負している」とアンチボットを紹介した。

 また、同社の取り組みとして先日大阪でボットラスを撃破したノートン・ファイターについても言及し、「一般ユーザーにはなかなか理解が難しいインターネット上の脅威を、分かりやすく、楽しく理解できる。非常に好評を博している」とコメントした。

600万台のPCがボットに感染

シマンテック シニア リージョナル プロダクト マーケティング マネージャ 風間彩氏

 続いて、シマンテック シニア リージョナル プロダクト マーケティング マネージャの風間彩氏が登壇し、アンチボットの詳細説明を行った。

 同社によれば、2007年上半期に発見されたアクティブなボットネットワークコンピュータは一日平均で5万2000台を超え、2006年下半期と比較して約17%増加している。風間氏は、総務省と経産省が昨年末から開始した「ボット対策プロジェクト」で約10カ月の間に約12万種のボットプログラムを検出した事例などを挙げ、新たな脅威としてボットネットの増加を指摘するとともに、「それらはドライブバイダウンロードなどの昨今の脅威と同様に偽装されている」と述べ、ボットのステルス性の高さを警告する。

 「ボットはユーザーが気付きにくいうえに、(感染したPCを操る)ボットマスターからの指令を新たに実行したり、自分自身を再インストールしてゾンビPCになったりと非常にアクティブで、従来のウイルスやワームのように“一度きり”のものではない。また、ユーザーが知らない間に、DoS攻撃や大量のスパム配信などに利用されてしまう」(同氏)。

同社によると、アジア太平洋地域におけるボットネットワークの現状は、少なくとも1度以上ボットに感染したアクティブなPCの数が一日平均で1万5447台に達し、世界全体の29%を占める(ちなみに感染数で見ると日本はアジア太平洋地域で第4位)。また、ボットの8割近くは中国を発信源としたものだという(写真=左)。600万台の個人所有のPCがボットネットによって“ハイジャック”された状態(写真=中央)。シマンテック製品のポートフォリオ(写真=右)

 そこで登場したのが、プログラムの挙動からボットやルートキット、トロイの木馬などを検出するアンチボットだ。同製品ではPCのプロセスを常時監視し、あやしいふるまいを分析してマルウェアを検出するため、脅威の発生から対策までに時間差のある定義ファイルには依存しない。また、システムスキャンが不要で、CPUやメモリの使用率も低い(メモリ使用量が10Mバイト、CPU使用率は2%以下)という。風間氏は「アンチボットは、この製品単体で万全のセキュリティを提供するものではないが、NIS(ノートン・インターネットセキュリティ)やノートン360などを補完するもう一層の保護レイヤーとしてさらに強固なセキュリティを実現できる。他社のエンドポイント・セキュリティ製品との併用も可能だ」と述べ、「今後も最高レベルの保護機能をいち早く提供することで市場をリードしていきたい」と抱負を語った。

アンチボットのユーザーインタフェースはシンプルだ。画面右上の3つのタブから、現在のシステムの状態、検知・削除したしたマルウェアの詳細情報、マルウェアを検出した際の挙動設定(自動検疫、進行状況や詳細情報の表示の有無など)の各画面を切り替える(写真=左)。テスト用のトロイの木馬を実行したデモ。実際にマルウェアとして検出され、事前の設定に従って除去された(画面=中央)。詳細タブで検疫されたマルウェアの詳細や行ったアクションが確認できる(画面=右)

 なお、同社の統合セキュリティスイート「ノートン・インターネットセキュリティ2008」にも、プログラムの挙動からマルウェアを検出する技術(SONARテクノロジ)が実装されているが、これに対してアンチボットのエンジンは、ふるまい分析のバリエーションが広いという。また、アンチボットがセキュリティスイート製品への機能追加としてではなく、単体で発売されることに関しては、「スイート製品への統合は検討中だが、アンチボットはSana Securityからライセンスを受けて開発したという経緯があり、時間をかけて機能統合をするよりも、ボットネットの増加などを考え一刻も早く市場に投入したかった」と説明している。

発表会場にはノートン・ファイターも登場した。大阪で倒したボットラスをシマンテックセキュリティオペレーションセンター(SOC)に移送中らしい。ちなみにSOCはバージニア州にある(画面=左/中央)。発表会の帰り際にノートン・ファイターとボットラスを発見。鎖は外されていた(写真=右)

Copyright © ITmedia, Inc. All Rights Reserved.

この記事が気に入ったら
ITmedia PC USER に「いいね!」しよう