 |
 |
記事検索 |
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
| 海の向こうの“セキュリティ” | |||||||||||
 |
|||||||||||
|
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
■「ハイブリッドP2P型」ボットネットの脅威 4月10日にケンブリッジで行なわれたUSENIXによるボットに関するワークショップ「HotBots '07」において、新型ボットネットの可能性を提起した論文が発表されました。 この論文で紹介されている新型のボットネットは、従来の「C&C(command-and-control)型」のボットネットと「P2P型」のボットネットのそれぞれの長所を組み合わせた形態を持ち、「ハイブリッドP2P型」と名付けられています。 まず、新型ボットネットを紹介する前に既存のボットネットについて簡単に復習しておきます。従来の典型的なボットネットは、C&Cサーバーを中心に個々のボットがぶら下がるというネットワーク形態を持ち(図1)、ボットとC&Cサーバーの通信にはIRC(Internet Relay Chat)が使われていました。 ■図1 C&C型ボットネットのcommand-and-controlアーキテクチャhttp://www.usenix.org/events/hotbots07/tech/full_papers/wang/wang_html/figure1.png しかしこのようなC&C型のボットネットには、ボットネットを使って攻撃する側にとって以下のような「弱点」がありました。 1)C&Cサーバーの数が限られているため、C&Cサーバーが停止させられるとボットネットを制御できなくなってしまう。 つまり、ボットを制御するC&Cサーバーの存在自体が、この形態のボットネットの最大の弱点となっているわけです。そこでこの弱点を克服する目的で考えられたボットネットの形態が、C&Cサーバーのような中心となるサーバーを置かずにすべてのボットが同じレベルで通信し合うP2P型です。 ただし、P2P型のボットネットにも次のような弱点がありました。 1)接続性が弱く、他のボットを探索する通信が検知されやすい。 そこで論文では、上記2つのタイプのボットネットのそれぞれの長所を組み合わせた新しいタイプのボットネットの可能性を提起し、その安定性などをシミュレーションの結果をもとに示しています。 この新たにハイブリッドP2P型という名で提起されたボットネットは、Servent(SERVEr+cliENTの造語、Servantにかけている)とClientの2種類のボットで構成されています(図2)。 ■図2 ハイブリッドP2P型ボットネットのcommand-and-controlアーキテクチャhttp://www.usenix.org/events/hotbots07/tech/full_papers/wang/wang_html/figure2.png Clientボットは限られた数のServentボットとのみ通信をし、また、Serventボットも限られた数のServentボットとのみ通信をします。つまり、C&C型ボットネットにおいてC&Cサーバーを多数に増やし、そのC&Cサーバー間を「P2P的」に通信しあう構成とも言えます。 このボットネットの特徴として、各ボット(Servent、Clientともに)は通信する相手を限定しており、また、ボットネットを制御する側の命令に従って通信相手をランダムに変更するため、ボットが1つ捕捉されてもボットネット全体が検出されることはありません。さらに従来のP2P型に比べて接続性を安定化し、無駄な通信を抑えることでボットネットが大きくなっても効率の良い通信および制御が可能になっています。 ところでこの論文は、このような今後生まれるかもしれない新しいタイプのボットネットを提起していますが、攻撃側に有利な情報を提案しているわけではありません。当然のことながら、この新しいタイプのボットネットから防御する方法についても示しています。 論文の著者は、防御の「キモ」はハニーポットであるとしています。もちろん従来のボットネットに対する防御方法としても、ハニーポットを使ってボットを捕捉し、ボットネット全体を把握することで攻撃から守る、またはボットネットを停止させるという方法は取られていました。しかし今回提起された新しいボットネットの場合は、これまで以上にハニーポットの手法が重要なのです。 その理由はServentボットの存在です。この新しいボットネットも、ボットが拡散を始める初期段階ではServentボットの数が限られており、従来のC&C型のボットネットに近い状態にあります。つまり、その時点でボット、それもServentボットを捕捉すればボットネット全体を把握することが容易になるわけです。そこでハニーポットがServentボットに感染しやすいように構築することが重要となります。この論文では、Serventボットの仕組みから、どのようにハニーポットやそのネットワークを構築すべきかについて詳細に説明されています。 その一方で著者は、感染したホストがハニーポットであるか否かを調べ、ハニーポットである場合にはボットとして機能しないようにプログラムされたボットも出てきており、今後はハニーポットとボットとの攻防が激しくなるだろうと指摘しています。 ■URLAn Advanced Hybrid Peer-to-Peer Botnet http://www.usenix.org/events/hotbots07/tech/full_papers/wang/wang_html/ HotBots '07 http://www.usenix.org/events/hotbots07/ ■韓国情報保護振興院、悪性コード隠匿サイトの探索でGoogleと提携 韓国情報保護振興院(KISA)は、Googleと提携し、世界中のWebサイトを対象として「悪性コード(マルウェア、ボットなど)」が仕込まれたサイトを探し出すことになったと発表しました。 KISAは自ら開発した「悪性コード隠匿サイト自動検知システム」を 2005年末から運用し、韓国国内の主要サイト約7万7,000余りに対して自動点検サービスを提供してきました。今回の提携により、KISAはこれまでの活動の中で得てきた探知パターンをGoogleに提供し、一方、Googleはそのパターンを使って悪性コードが仕込まれたWebサイトを検索して発見した結果をKISAに報告することになります。これにより、検索結果に「悪性コード隠匿サイト」が現われても、利用者がアクセスしないようにすることができるのです。 KISAにとって、探索の対象をこれまで韓国国内のサイトに限っていたものを一気に世界中のサイトに拡大することができ、一方Googleにとっては利用者の安全を図ることができるという点で、この提携は両者にとって大きなメリットがあります。そしてそれ以上に利用者にとってもこの提携は大きなメリットがあります。 セキュリティベンダーだけでなく、世界中のさまざまな公的機関で、マルウェアの解析やその検知は活発に行なわれています。しかしその成果は主に「ウイルス検知ソフト」や「ワクチンソフト」「駆除ツール」に使われることがほとんどです。つまり何らかのソフトウェアを利用者のパソコンにインストールしない限り、その成果を利用することはできないわけです。 一方、マルウェアの感染を防ぐ方法として「不審なサイトにはアクセスしない」ということが「常識」とされていますが、実際には多くのユーザーにとって「不審なサイト」にアクセスする危険性が高いのはGoogleをはじめとする検索サービスによる検索結果に現われたサイトにアクセスする時です。しかし、検索結果に現われたサイトが不審か否かの判断は、そのような判断をするためのソフト(やブラウザのアドオン)を使わざるを得ません。そのような中で検索サービスを提供する側で「(マルウェアが仕込まれている)不審なサイト」へのアクセスを防いでくれるというのは、ごく普通の一般ユーザーにとって、とても心強いものであることは疑う余地がありません。 もちろんこのような「遮断」は慎重に運用しなければ、一種の「検閲」にもなりかねません。しかしそのような問題も、どのような基準で「遮断」するのかのルールを明確にし、利用者に明示する、また検索結果に「危険なサイト」が現われてもリンクはせずにURLのみ掲載し、その脇に「このサイトにアクセスするとマルウェアに感染する可能性があります」といった注意書きを添えるなどすることで、解決(もしくは緩和)するのではないかと考えられます。 「1インターネットユーザー」として、このような活動がより積極的に行なわれ、成果を挙げることに、大いに期待しています。 一方、日本でも総務省と経済産業省による連携プロジェクト「サイバークリーンセンター」においてボットの解析が行なわれていますが、税金を使って運用されているこの活動の成果を、「駆除ツール」だけでなく、日本国民(=利用者)が「危険なサイト」に不用意にアクセスしないような仕組みの構築にも積極的に利用してもらいたいものです。 ■URL「MONEY TODAY」2007年4月24日付記事(韓国語) 「KISA-Google、悪性コード隠されたサイトを探す」 http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2007042414245263660 総務省・経済産業省 連携プロジェクト Cyber Clean Center サイバークリーンセンター https://www.ccc.go.jp/ ■「暴露機能」標準搭載のファイル交換ソフト、台湾で情報漏洩事件に 日本では、「Winny」を使ってパソコン上のファイルをネットワークに垂れ流してしまう「暴露ウイルス」による情報漏洩事件が多発していますが、同様の事件が台湾で発生し、大きな問題になっています。 現地の報道によると、台湾では4月に「Foxy」という名のP2Pファイル交換ソフトによって警察や軍の情報などが漏洩する事件が発生しました。 Foxy は「簡単操作」「便利」「超高速ダウンロード」「絶対安全」を標榜し、事実その使いやすさからユーザーの多いP2Pファイル交換ソフトです。ところがこのFoxyにはそもそも「暴露機能」があり、「共有フォルダ」を指定しても、それを無視してすべてのファイルを「共有」してしまうのです。つまり、標準で「暴露機能」を有している点がWinnyとは異なります。 また、さらに悪質なことに、ファイル検索のために極めて大量のリクエストを送信するため、ルータなどのネットワーク機器に多大な負荷をかけてしまうこともあるそうです。 ほかにも、スタートアップで起動してタスクトレイに最小化されるためユーザーに稼動していることを気付かれにくい、コネクションポートを不定期に自動変更するなど検出されにくくする工夫が施されています。 台湾当局では、2006年11月にP2Pファイル交換ソフトによる情報漏洩の危険性について注意を喚起したばかりだったこともあり、ショックは大きいようです。 ■URL「台湾CNET」2007年4月13日付記事(中国語) http://taiwan.cnet.com/news/software/0,2000064574,20116793,00.htm Wikipediaの「Foxy」項目(中国語) http://zh.wikipedia.org/wiki/Foxy (2007/05/08)
- ページの先頭へ-
|
