「Interop Tokyo 2006」で7日、「徹底検証:BOTネット対策2006-ボットネット脅威の変移-」と題するカンファレンスが開催された。ISPやセキュリティベンダーなどの担当者が出席し、ボットネットの最新状況や有効な対策方法について意見を交わした。
ボットとはウイルスの一種で、感染したPCに対して、ネットワークを通じて外部から操ることを目的としたプログラム。ボットネットは、ボットに感染したPCで構成されるネットワークのことだ。悪意のある攻撃者は、IRC(Internet Relay Chat)サーバーなどを通じて感染したPCに指令を出し、スパムメールの大量送信やDDoS攻撃などを実行させることが多い。
● ボットネットを売買できるブラックマーケットも存在
|
インターネットイニシアティブの歌代和正氏
|
|
NTTコミュニケーションズの小山覚氏
|
インターネットイニシアティブの歌代和正氏によれば、Windows Updateを適用していないような無防備なPCがネットワークに接続した場合、約4分足らずでボットに感染するという。日本では40台に1台が感染しており、感染PCの数は増加の一途をたどっている。
ボットネットの脅威が拡大する理由としては、「毎日約80種類のボット亜種が発生しているため、ウイルス対策ソフトのシグネチャによる対応に限界がある」「いたずら目的ではなく金銭を狙うプロフェッショナルが関与するようになった」ことなどが挙げられるという。
NTTコミュニケーションズの小山覚氏は、「マイボットネットを作成するためのソースコードは、検索エンジンを利用すれば簡単に入手できる」と指摘し、実際に公開されているソースコードを使って、ボットネットを構築した実験を紹介。「そいういう意味では、ボットネットは誰でも使える“優れた”システム」と感想を述べた。
実験では、まずPC数十台とIRCサーバー数台、Webサーバーなどを用意。その後は、1)検索エンジンを使ってボットのソースコードを入手、2)IRCサーバーのパラメータを設定、3)IRCサーバーに接続、4)用意したPCにボットを埋め込んで実行、5)ボットが自動的に近接したIPアドレスに感染、という手順で、「料理を作るように簡単に」ボットネットを構築できたという。
JPCERTコーディネーションセンター(JPCERT/CC)の伊藤友里恵氏は、ボットの情報収集機能の脅威を指摘する。これは、ボットにスパイウェア機能が搭載されたためで、ユーザーIDやパスワードのほか、クレジットカード情報、レジストリ情報、ソフトウェアのプロダクトキーなどの重要な情報が盗まれているという。
「ボットネットを売買できるブラックマーケットの存在が、ボットネットの脅威を増長させている。例えば、ボットネットは2,000~3,000ドルで取引されているほか、盗んだ情報も、クレジットカード詐欺や海賊版ソフトなどのビジネスで重宝される。簡単に金を稼げるだけでなく、攻撃元が追求されにくいためリスクが低いことも魅力となっている」(伊藤氏)
● ボットの振る舞いから検知することは有効
|
インターネットセキュリティシステムズの高橋正和氏
|
|
ボット感染の対策法
|
インターネットセキュリティシステムズの高橋正和氏は、「ウイルス対策ソフトのシグネチャベースの検知では防ぐことは難しい」と指摘する。
「ボットはソースコードが公開されているため、亜種の作成が容易。また、攻撃側はボットをリリースする前に、ウイルス対策ソフトで検知されないかどうかを試せるほか、最近ではボットの配布ターゲットを特定したスピア型攻撃が増えていることから、検体が入手困難になっている」(高橋氏)
対策としては、アンチウイルス的な対応と、侵入防止システム(IPS)やパーソナルファイアウォール(PFW)的な対応の2通りを挙げる。アンチウイルス的な対応では、疑わしい挙動を見せるプログラムを検知する「ヒューリスティックスキャン」を用いる。また、IPS・PFW的な対応としては、脆弱性を突く攻撃を検知することが有効だという。
また、セキュアブレインの星澤裕二氏は、ボットに感染したPCが、IRCサーバーを通じて攻撃命令を受けたことを攻撃者に返信する仕組みに着目したボットの検知方法を紹介。ボットに感染したPCは、攻撃命令に対するレスポンスが人間のチャットスピードよりも速い特徴があるため、ネットワーク上のパケットを監視していればボットを検知できるという。
この方法について星澤氏は、「シグネチャベースの対応では、ボットの新亜種への対応時間がかかるほか、シグネチャの開発には多くのリソースや費用が必要。レスポンスタイムによるボット検知手法は、インターネット上の新しい不正プログラムを発見できて費用効率も高い」と評価している。
一方、トレンドマイクロの小屋晋吾氏は、シグネチャベースでボットを検知する機能として、2005年5月に実装した同社のウイルスパターンファイルの新機能を披露。圧縮形式が異なる以外は同一のウイルスを1つのパターンファイルとして検出する「Unpackerパターン」と、未知の亜種ウイルスに対して予防措置を可能にする「Genericパターン」機能について説明した。
Unpackerパターンは、さまざまな圧縮形式の展開パターンをウイルスパターンファイル内に搭載することで、ウイルス検索エンジン上で圧縮ファイルを展開し、圧縮形式が異なる以外は同一のウイルスを1つのウイルスパターンファイルとして検出する。これにより、圧縮方法が異なるというだけで、定義ファイルに反映されるまでに時間がかかっていたボットの亜種についても、迅速に対応できるとしている。
「ボットにチューニングしたヒューリスティック検知」というGenericパターンは、亜種ウイルスに共通すると考えられるシグネチャを類型化したもの。既知のウイルスで使用されている技術を転用して作成したような未知の亜種ウイルスに対して、予防措置が可能になるという。ただし、正常なプログラムをウイルスと判断する誤検知の問題もあることから、「今後さらなるチューニングが必要になる」とした。
|
|
セキュアブレインの星澤裕二氏
|
トレンドマイクロの小屋晋吾氏
|
● ISPやセキュリティベンダーらボット対策プロジェクト
|
JPCERT/CCの伊藤友里恵氏
|
また、JPCERT/CCの伊藤友里恵氏が現在進行中のプロジェクトとして、総務省と経済産業省が中心となり、ISPやセキュリティベンダーなどが参加しているマルウェア対策事業について説明した。
仕組みとしては、まずISPがマルウェアに感染したユーザーの動きを把握してマルウェアの検体を入手。ISPは検体をセキュリティベンダーやJPCERTなどに提供し、マルウェアの解析および駆除ツールの作成を依頼する。ISPから通知を受けた感染者は、駆除ツールをダウンロードできるポータルサイトにアクセスして、感染したマルウェアを駆除するという流れだ。
そのほか、NTTコミュニケーションズの小山氏は、ボット感染者の9割を占める個人ユーザーをサポートすることを課題に挙げた。同社はこれまで、ニフティ、IIJ、トレンドマイクロ、マイクロソフトなどと共同で、「ANTINNYウイルス対策サイト」を設置している。このサイトでは、Antinny感染者に対して通知しているが、同様のサービスをボット感染者にも提供するべきとの考えを示した。
|
|
総務省、経産省、ISP、セキュリティベンダーによるマルウェア対策事業
|
マルウェア対策事業の流れ
|
関連情報
■URL
Interop Tokyo 2006
http://www.interop.jp/
■関連記事
・ ボットは一点突破の“スピア型ウイルス”、ISPも対応に苦慮(2005/12/09)
( 増田 覚 )
2006/06/08 13:33
- ページの先頭へ-
|