ボットとその対策について

近年頻発している情報セキュリティにかかわる事件の多くが、情報漏洩に類するものとなっています。今回は、ボットとして知られているウイルスについて解説します。

FacebookTwitterLinkedIn
bot-measures

近年頻発している情報セキュリティにかかわる事件の多くが、情報漏洩に類するものとなっています。

これまでの変遷を考えてみると、コンピューターウイルスの感染経路や活動内容は、その目的と共に変化し続けています。インターネットが普及する前は、外部記憶媒体であるフロッピーディスクなどから感染するシステム領域感染型ウイルスやファイル感染型ウイルスが横行しました。そして、インターネットの普及と共に、Eメールの添付ファイルで感染するウイルスが増加し、さらには、セキュリティホールを狙う大規模感染型のウイルスが現れました。こうしたウイルスは、攻撃者の単なる興味や自己技術の誇示、愉快犯的なものが一般的でした。

しかしこれに対して、21世紀に入り台頭してきたAgobot(アゴボット)をはじめとするボットとして知られているウイルスがあります。これはボットが登場する以前の愉快犯的な発想によるウイルスとは異なり、金銭的な利益の追求という犯行の目的が明確になっています。

ボットは、ボットネットワークという巨大なネットワークを構成し、それをコントロールする犯罪組織によって、DoS攻撃や、迷惑メール配信、情報漏洩などに利用されています。近年の事例では、仮想通貨の発掘ツールにボット型マルウェアが含まれていました。ここで簡単にボットについて説明を加えておきます。管理者は、常にボットの対策が行われているか管理する必要があります。

1.ボットとは

ボットとは、簡単に言えばコンピュータウイルスの一種で、感染したコンピュータが、そのコンピュータを、ネットワーク (インターネット)を通じて外部から操ることを目的として作成されたプログラムのことです。

ボットに感染すると、外部からの指示を待ち、与えられた指示に従って迷惑メールの配信やネット上のサーバーへの攻撃などの内蔵された処理を実行します。この外部から自由に操るという動作がロボットに似ているところから、このウイルスは「ボット」と呼ばれています。
旧来の愉快犯的な発想によるウイルスと比べると、ボットは、感染したことや活動していることに気付きにくく密かに動作しウイルスの脅威が見えにくくなっているのが特徴です。

ボットに感染したコンピュータとそのコンピュータの持ち主は当然、被害者となります。しかしボットは、感染したコンピュータが迷惑メールを送信したり、別のサイトを攻撃したりするので迷惑メールを受け取ったり、攻撃されたりしたコンピュータから見ると、ボットに操られたコンピュータが加害者になります。これらを考えると、セキュリティ管理者は、コンピュータの利用者に自分が加害者にならないようにするために、日頃からボットへの対策がとても大切であることを周知させる必要があります。

2.ボット感染の確認と駆除する方法

ボットは、インストールしているウイルス対策ソフトの最新のウイルス定義ファイルの取込みを妨害することで、ソフト自体を止めることまであります。また、動作中のプロセスを参照したと思っても、システム本来のプロセスと区別が付きにくい名称のために、プロセスが参照できなかったりするなど、最近のボットは、手口が巧妙で感染したコンピュータの利用者に気付かれないように工夫されています。

こうしたことを考慮し、少しでもコンピュータがおかしいなと思ったら、ボットに感染しているかどうか調べる必要があります。

調べる方法

1)コンピュータを最新の状態にする

  • Windows UpdateまたはMicrosoft Updateを実施
  • 不正な設定を発見した場合は、不正の訂正をした後、Windows UpdateまたはMicrosoft Updateを再度実施する。

2)ウイルス検査を実施し、ウイルス対策ソフトを最新の状態する

  • 不正な設定を見つけた場合は、不正の訂正後、ウイルス対策ソフトを最新の状態する。

3)ウイルス対策ベンダーのサイトやMicrosoftへ接続できない場合

  • HOSTSファイルで調べる
    もし指定されているURLがMicrosoftのサイトやウイルス対策ベンダーのサイトであれば、それらの定義を削除する。

3.ボットの感染経路

ボットの主な感染経路を知っておくことは、コンピュータの利用者が被害者、加害者にならないための対策です。主な感染経路には、次のようなものがあります。

1)ウイルスメールの添付ファイルをクリックして実行してしまう

2)ウイルスの埋め込まれた不正なWebページを参照してしまう

3)スパムメールと示されたリンクへクリックにより不正誘導される

4)コンピュータの脆弱性を利用して、ネットワークを通じた不正アクセスによる感染

5)他のウイルスに感染した際に設定されたバックドア*を通じてたネットワークからの感染

6) 音楽や動画のデータのファイル交換ソフトを偽装して不正プログラムが実行される

※ バックドア
バックドアは、開発時のテストのために設置されることもありますが、ユーザーに知られることなくコンピュータへの遠隔操作などの不正アクセスを目的として利用されることもあります。その特定のポートを利用してプログラムを起動させることで、外部のインターネットを通じて、特定のコンピュータへ侵入することができます。

deployment
deployment

4.ボット感染後に想定される動作

ボット感染後の動作を知っておくと、慌てずに対処することができます。まずボットに感染すると、指示することなくネットワークを通じて外部の指令サーバ (多くのボットは IRC(Internet Relay Chat)を使う)と通信を行います。次に、ボットは、外部からの指定された処理を実行し、さらなる指示を待つ指令サーバの変更なども実行していきます。

これらの動作を静かに実行するため、利用者が簡単に気が付くことができないという厄介な面を持っています。

5.ボットネットワークの脅威

同一の指令サーバの配下にある複数のボットは、ボットネットワークという指令サーバを中心とするネットワークを組みます。それらのボットネットワークは、フィッシング目的やスパムメールの大量送信、特定サイトへの DDoS攻撃などに利用され、とても大きな脅威となっています。

ボットの行動例

1)スパムメール送信活動

2)特定のサイトへのサービス妨害攻撃を行うDoS攻撃などの攻撃活動

3)コンピュータの脆弱性を狙った不正アクセスによるネットワーク感染活動

4)感染対象や脆弱性を持つコンピュータの情報を集める

5)ボットのバージョンアップをする

6)感染したコンピュータ内の情報を外部へ送るスパイ活動

6.ボット対策のポイント

ネットワーク利用者がボットなどのウイルスに感染しないために、ウイルス対策でよく言われている内容でありますが、セキュリティの基本的な対策を徹底することがカギでありボットに感染させないようにすることが大切です。

1)ウイルス対策ソフトやスパイウェア対策ソフトの導入

  • 定義ファイル等の定期的な更新およびウイルス検査の実施

2)宛先不明のメール添付ファイルは安易に開かない

3)不審なWebサイトの閲覧をしない

4)ブラウザ等のインターネットオプションの有効利用

5)スパムメールなどのリンクをクリックしない

6)インターネット接続などを正しく設定・運用する

7)コンピュータ上のOSやアプリケーションを常に最新状態にしておく

7.Web運営者が注意すべきボット対策のポイント

Web運営者やインターネットで情報公開の場を利用するユーザーは、ボットなどのウイルスによって感染活動の踏み台にならないように次のような対策を行うべきでしょう。

1)Webページなどがボットに侵入され、感染用に改ざんされていないか注意する

2)コンピュータ上のOSやアプリケーションを常に最新状態にする

3)異常が見つかったら直ちにWebを閉鎖するなど被害拡大防止の措置をとる

4)ネットワーク監視を実施し、不審な通信を検知できるようにする

シングテルでは、世界クラスのサイバーセキュリティでお客様のビジネスを守ることが可能です。シングテルのサイバーセキュリティ部門であるTrustwave(トラストウェーブ)社アナリストとエンジニアが最先端のサイバーセキュリティを専門的に支援します。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。