近年頻発している情報セキュリティにかかわる事件の多くが、情報漏洩に類するものとなっています。今回は、ボットとして知られているウイルスについて解説します。
近年頻発している情報セキュリティにかかわる事件の多くが、情報漏洩に類するものとなっています。
これまでの変遷を考えてみると、コンピューターウイルスの感染経路や活動内容は、その目的と共に変化し続けています。インターネットが普及する前は、外部記憶媒体であるフロッピーディスクなどから感染するシステム領域感染型ウイルスやファイル感染型ウイルスが横行しました。そして、インターネットの普及と共に、Eメールの添付ファイルで感染するウイルスが増加し、さらには、セキュリティホールを狙う大規模感染型のウイルスが現れました。こうしたウイルスは、攻撃者の単なる興味や自己技術の誇示、愉快犯的なものが一般的でした。
しかしこれに対して、21世紀に入り台頭してきたAgobot(アゴボット)をはじめとするボットとして知られているウイルスがあります。これはボットが登場する以前の愉快犯的な発想によるウイルスとは異なり、金銭的な利益の追求という犯行の目的が明確になっています。
ボットは、ボットネットワークという巨大なネットワークを構成し、それをコントロールする犯罪組織によって、DoS攻撃や、迷惑メール配信、情報漏洩などに利用されています。近年の事例では、仮想通貨の発掘ツールにボット型マルウェアが含まれていました。ここで簡単にボットについて説明を加えておきます。管理者は、常にボットの対策が行われているか管理する必要があります。
ボットとは、簡単に言えばコンピュータウイルスの一種で、感染したコンピュータが、そのコンピュータを、ネットワーク (インターネット)を通じて外部から操ることを目的として作成されたプログラムのことです。
ボットに感染すると、外部からの指示を待ち、与えられた指示に従って迷惑メールの配信やネット上のサーバーへの攻撃などの内蔵された処理を実行します。この外部から自由に操るという動作がロボットに似ているところから、このウイルスは「ボット」と呼ばれています。 旧来の愉快犯的な発想によるウイルスと比べると、ボットは、感染したことや活動していることに気付きにくく密かに動作しウイルスの脅威が見えにくくなっているのが特徴です。
ボットに感染したコンピュータとそのコンピュータの持ち主は当然、被害者となります。しかしボットは、感染したコンピュータが迷惑メールを送信したり、別のサイトを攻撃したりするので迷惑メールを受け取ったり、攻撃されたりしたコンピュータから見ると、ボットに操られたコンピュータが加害者になります。これらを考えると、セキュリティ管理者は、コンピュータの利用者に自分が加害者にならないようにするために、日頃からボットへの対策がとても大切であることを周知させる必要があります。
ボットは、インストールしているウイルス対策ソフトの最新のウイルス定義ファイルの取込みを妨害することで、ソフト自体を止めることまであります。また、動作中のプロセスを参照したと思っても、システム本来のプロセスと区別が付きにくい名称のために、プロセスが参照できなかったりするなど、最近のボットは、手口が巧妙で感染したコンピュータの利用者に気付かれないように工夫されています。
こうしたことを考慮し、少しでもコンピュータがおかしいなと思ったら、ボットに感染しているかどうか調べる必要があります。
1)コンピュータを最新の状態にする
2)ウイルス検査を実施し、ウイルス対策ソフトを最新の状態する
3)ウイルス対策ベンダーのサイトやMicrosoftへ接続できない場合
ボットの主な感染経路を知っておくことは、コンピュータの利用者が被害者、加害者にならないための対策です。主な感染経路には、次のようなものがあります。
1)ウイルスメールの添付ファイルをクリックして実行してしまう
2)ウイルスの埋め込まれた不正なWebページを参照してしまう
3)スパムメールと示されたリンクへクリックにより不正誘導される
4)コンピュータの脆弱性を利用して、ネットワークを通じた不正アクセスによる感染
5)他のウイルスに感染した際に設定されたバックドア*を通じてたネットワークからの感染
6) 音楽や動画のデータのファイル交換ソフトを偽装して不正プログラムが実行される
※ バックドア バックドアは、開発時のテストのために設置されることもありますが、ユーザーに知られることなくコンピュータへの遠隔操作などの不正アクセスを目的として利用されることもあります。その特定のポートを利用してプログラムを起動させることで、外部のインターネットを通じて、特定のコンピュータへ侵入することができます。
ボット感染後の動作を知っておくと、慌てずに対処することができます。まずボットに感染すると、指示することなくネットワークを通じて外部の指令サーバ (多くのボットは IRC(Internet Relay Chat)を使う)と通信を行います。次に、ボットは、外部からの指定された処理を実行し、さらなる指示を待つ指令サーバの変更なども実行していきます。
これらの動作を静かに実行するため、利用者が簡単に気が付くことができないという厄介な面を持っています。
同一の指令サーバの配下にある複数のボットは、ボットネットワークという指令サーバを中心とするネットワークを組みます。それらのボットネットワークは、フィッシング目的やスパムメールの大量送信、特定サイトへの DDoS攻撃などに利用され、とても大きな脅威となっています。
1)スパムメール送信活動
2)特定のサイトへのサービス妨害攻撃を行うDoS攻撃などの攻撃活動
3)コンピュータの脆弱性を狙った不正アクセスによるネットワーク感染活動
4)感染対象や脆弱性を持つコンピュータの情報を集める
5)ボットのバージョンアップをする
6)感染したコンピュータ内の情報を外部へ送るスパイ活動
ネットワーク利用者がボットなどのウイルスに感染しないために、ウイルス対策でよく言われている内容でありますが、セキュリティの基本的な対策を徹底することがカギでありボットに感染させないようにすることが大切です。
1)ウイルス対策ソフトやスパイウェア対策ソフトの導入
2)宛先不明のメール添付ファイルは安易に開かない
3)不審なWebサイトの閲覧をしない
4)ブラウザ等のインターネットオプションの有効利用
5)スパムメールなどのリンクをクリックしない
6)インターネット接続などを正しく設定・運用する
7)コンピュータ上のOSやアプリケーションを常に最新状態にしておく
Web運営者やインターネットで情報公開の場を利用するユーザーは、ボットなどのウイルスによって感染活動の踏み台にならないように次のような対策を行うべきでしょう。
1)Webページなどがボットに侵入され、感染用に改ざんされていないか注意する
2)コンピュータ上のOSやアプリケーションを常に最新状態にする
3)異常が見つかったら直ちにWebを閉鎖するなど被害拡大防止の措置をとる
4)ネットワーク監視を実施し、不審な通信を検知できるようにする
シングテルでは、世界クラスのサイバーセキュリティでお客様のビジネスを守ることが可能です。シングテルのサイバーセキュリティ部門であるTrustwave(トラストウェーブ)社アナリストとエンジニアが最先端のサイバーセキュリティを専門的に支援します。
ビジネスとテクノロジーに関する最新トレンドのダイジェストをメールでお届けします。