1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. ボットの最新事情について

ボットの最新事情について

もとは人間がコンピュータを操作して行っていたような処理を、人間に代わって自動的に実行するプログラムである「ボット」。セキュリティの世界では、感染したコンピュータを攻撃者が用意したネットワークに接続し、攻撃者の指令通りの処理を実行するコンピュータウイルスを指す。

このボットはより検知されにくいよう性能が向上し、巧妙化している。最新事情について興味深い記事があったので引用する。

マルウエアの総合デパート「ボット」の現状とは (1/2)(ITmedia)

ボットに感染したPCは「ゾンビマシン」などと呼ばれ、ゾンビマシンによって構成された仮想ネットワーク「ボットネット」は、攻撃者によって一斉に同じ指令を与えることができるため、DDoS攻撃やスパム送信などに悪用されてきた。

最近では、2007年に世界的に猛威を振るったStorm Wormというボットが顕著な例で、独立行政法人 情報処理推進機構(IPA)が発表した2007年「10大脅威」の一つとしても挙げられている(→関連記事)。

 セキュリティベンダーなどの調査によれば、ボットネットの規模は世界で数万台規模のものもあれば、数百万台規模になるものも存在するといわれる。(略)

 サイバークリーンセンターの分析によれば、最近のボットはスパムメールの送信性能が1時間当たり1000?2000通、多い場合には同2万通にもなる。

このように、犯罪組織などによって構成された大規模なボットネットの存在が指摘されている。


ボットの最新事情

記事ではボットの最新事情について言及されているので紹介したい。

特定の拡張子を持つファイルに感染するタイプ
「.com」や「.exe」「.pif」「.scr」の拡張子を持つファイルに感染するボット。感染するファイルによってハッシュ値が変わるため、セキュリティ対策企業がパターンファイルを作成するのに時間を要するなどの問題を引き起こしている。

感染したファイルにアクセスすると感染が広がるタイプ
2007年11月ごろから検出数が増加している「PE_VURUT」と呼ばれるウイルスは、感染ファイルにアクセスがあると他のファイルへ感染を広げるボット。記事では、PE_VURUTに感染したPCを再起動したところ800以上のファイルに感染が広がる検証結果を紹介している。

可搬型記録媒体から感染するタイプ
USBメモリなどの可搬型記録媒体から感染するウイルスも増えている。USBメモリなどをPCに接続した時点でシステム全体やネットワーク上の別のマシンに感染を広げるというものだ。

ボットを簡単に作成できるツールも
こうしたボットによる不正行為は、犯罪の専門集団などにより明確に金銭的動機を伴った犯罪行為として行われている。

セキュリティベンダーらは、不正に取得した個人情報をブラックマーケットで売買する、システムの「サービス障害を引き起こす」と恐喝して「身代金」を要求するといった手口を指摘している。

また、近年はプログラムコードの知識を持たなくとも簡単にマルウエアを作成できるツールが流通しているという。

Webを経由した「誘導型攻撃」へシフト
ボットの感染経路についても変化が生じている。従来のように、システムの脆弱性を直接狙ったり、電子メールなどに添付されて流布されるケースに代わり、2007年ごろからWebサイト経由による感染が急増している。

SQLインジェクションなどのWebアプリケーションの脆弱性を悪用し、Webサイトの情報を改ざん。その結果、改ざんされたサイトは、攻撃者が用意した別の悪意のサイトへ閲覧したユーザーを誘導する仕掛けが埋め込まれるケースが多数見受けられている。

このように、攻撃されたサーバーではなく、閲覧したユーザーが直接的な被害を受ける「二次被害」をもたらす攻撃は「誘導型攻撃」と分類されている。

Web経由による感染はユーザーの行動が原因となるため、ファイアウォールやセキュリティ対策機能を持ったルータなどを用いた、外部からの直接攻撃に対処する方法では、回避することが難しいという。

記事では、ボットに感染したコンピュータと攻撃者のサーバーとの通信に、80番ポートや5190番ポート、1863番ポートといったHTTPや一般のアプリケーションで使用するポートを用いることでファイアウォールなどの対策を回避する方法についても指摘。

ボットが巧妙にセキュリティ対策を回避する性能を備えている点について注意を呼びかけている。

なお、記事では、総務省と経済産業省のボット対策の連携プロジェクト「サイバークリーンセンター」が公開しているボット駆除ツール「CCCクリーナー」を紹介している。ボットへの感染が疑われる場合には同ツールを使用して、確認と駆除を行うよう推奨している。

<参考>
ボット ウイルスの駆除手順(サイバークリーンセンター)

関連キーワード:

ファイアウォール

  • セキュリティめがね 第10回 ネット利用の幻想、匿名だから安心という勘違い
  • カテゴリートップへ
  • 米国の大型ハリケーンに便乗した詐欺に注意