ニュース

東京は世界屈指の“ボットスポット”~シマンテック調査

 株式会社シマンテックは、ボットの日本国内における分布状況を把握できるウェブサイト「ボットスポット」を公開した。東京は国内のボット感染源の6割超が集中しているという。2016年のデータを元に4月に発行した「インターネットセキュリティ脅威レポート」に基づくもの。

東京に国内ボットの6割が集中、平均寿命は6倍以上に

 世界でのボット感染状況は、2015年と比較して670万台増加しており、ボットネットワークが駆除されるまでの平均寿命は、8日間から51日間へ大幅に伸びている。

 日本のボット分布数は世界36位で、全体の0.6%を占めている。都道府県別の分布では、そのうちの60.92%が東京に集中。次いで大阪、愛知と大都市圏が上位を占めた。

 G7各国を見ると、例えばイギリスのロンドンが34.40%、イタリアのローマが29.91%が東京に次いで高い。株式会社シマンテックの古谷尋氏(ノートン事業本部マーケティング部部長)は、東京にボットが集中する理由として、脆弱性、インターネット接続デバイスの多さ、高速な回線などを挙げたが、「ボットが存在する場所に作成者がいるわけではなく、東京のボットもアメリカで作成されたウイルスによるものかもしれない。攻撃先も日本以外である可能性もあり、(ボットによる犯罪は)グローバルなものになっている」とした。

株式会社シマンテックの古谷尋氏(ノートン事業本部マーケティング部部長)

「Mirai」「NECURS」……DDoSやスパム送信インフラを担う大規模ボットネット

 2016年10月には、50万台ものIoT機器を乗っ取り、大規模なDDoS攻撃を仕掛けたマルウェア「Mirai」や、1日に230万件以上のスパムメールを送信した「NECURS」など、ボットネットワークの大規模化も進展していた。

 Miraiが急速に拡大していた時期には、シマンテックのハニーポットに対して、およそ2分ごとに攻撃が仕掛けられていたという。また、2016年の1月と12月を比較すると、こうした攻撃は2倍に増えているとのことだ。古谷氏は「IoT機器のパスワードはデフォルトままの可能性が高く、自動アップデートの仕組みもない製品が多いことから標的になりやすい」との見方を示した。

 一方のNECURSは、2016年末に休止状態になったことで、2017年初頭の一時期には、スパムメールは減少したという。しかし3月以降には、シマンテックのメールブロックインフラで、200万件のスパムメールをブロックするなど、再び活性化しているという。

 このほか、ボットネットの事例として、2017年8月に発見され、フランスを拠点に10万程度のボットからなると推測され、7億1100万のメールアドレスデータベースを保有していたスパムボットサーバー「Onliner」、Google Playから配信されるアプリ300種類にプログラムを仕込ませ、数万のAndroidデバイスへ感染を広げて環境業界大手のウェブサイトをダウンさせた「WireX」も紹介された。「WireXのようにAndroidスマートフォンを標的にしたボットはこれまで例がない」とのことだ。

ボット、その感染プロセスを解説

 ボットは、ウイルスやマルウェアの一種で、ユーザーが知らない間に感染し、攻撃を送る指令者によって感染したPCやスマートフォンなどが好きなように操られるもの。感染したPCは一般に“ゾンビマシン”とも呼ばれ、犯罪者側は感染PCのユーザーに気付かれない工夫をしているという。

 この感染源を集め、1つのネットワークにしたものがボットネットワークだ。100台や1000台程度の規模が一般的だが、中には数十万規模のボットネットワークもある。こうしたボットに指令を送るのが「C&Cサーバー」と呼ばれるものだ。

 ボットネットワークは、指令を受けて金銭を入手できる広告をクリックさせる「クリック詐欺」や、特定のウェブサイトなどに大規模アクセスを行う「DDoS攻撃」、CPUリソースを使って仮想通貨のマイニング(採掘)などを行うなど、さまざまな目的で使われる。また、感染者の個人情報が窃取されてしまう場合もある。

 こうしたボットネットワークは、アンダーグラウンドなブラックマーケットで、スパム配信のインフラとして貸し出されるケースも多いという。

 ボットには、スパムメールの添付ファイルや、本文記載されたリンク先のウェブサイトを開くことで感染し、ボット自身も自らのコピーをより多く作って脅威を拡散する場合がある。

 これは、一般的なウイルスの感染経路と同じで、SNSのメッセージやアプリを通じて、スマートフォンへ感染する場合も多いとのことだ。

ボットネット感染兆候の把握は困難、対策は?

 古谷氏は「多くの人は考えてもおらず、気にしてもいないが、自分のPCがボットネットの一部になり、サイバー犯罪に使われる可能性がある」と述べた。PC以外にも、タブレットやスマートフォン、ネットワークカメラなどのIoT機器、無線LANルーター、NASなど、「ログインできるものは乗っ取られて、片棒を担ぐ可能性がある」とし、「デフォルトのパスワードを変更したり、セキュリティ対策ソフトを導入するなど、ちょっとしたことで防げる」と、対策の必要性を強調した。

 ボットについては、「基本的には気付かれないようにし、攻撃を行うタイミングのみ稼働する」とし、その感染兆候を知るのは基本的には難しいとした。その一方で、「理由なくネットの速度やデバイスの速度が遅くなったり、何もしていないのにシステムがクラッシュしたり、アイドル中にファンが大きく動作したときには、感染が疑われる場合がある」とした。

 さらに、「シャットダウンに時間がかかる、ブラウザーを使っていないのに広告が表示される、送った覚えのないメールが来たと言われるなど、ここまでくると相当怪しいと考えていい」と述べ、「こうした状態になる前に、対策ソフトを入れたほうがいい」とし、「100%とはいわないが大部分は防げる」とした。

 対策ソフトは、「評価の高いものを選び、各種ソフトウェアも、アップデートを逐次受けられるように自動更新にしておきたい。また、ハードルは高いかもしれないが、ブラウザーのセキュリティレベルを高く設定することで、自動的に処理が進むことを防げる」と指南した。