ボットの脅威を防ぐには

前田秀介(NTTデータ) 2006年03月17日 05時45分

  • このエントリーをはてなブックマークに追加

 前回はボットの生態とその脅威を紹介した。今回は、増加するボットの脅威に対して、どのような対策が有効であるかということについて説明しよう。

ボットの対策にはどのようなものがあるか?

 一口にボットの対策と言っても、さまざまな対策が考えられる。ここでは、ボット(ボットネット)の脅威の種類によって次のように対策を分類する。

  • ボットの侵入への対策
  • ボットサーバによるボット制御への対策
  • ハーダによるボットネットの一斉制御への対策

 以下では、これらの対策について詳しく述べる。

図1:ボットの脅威と対策の実施ポイント

ボットの侵入への対策

■基本的な侵入対策は必須
 マルウェア対策の基本は侵入を防ぐことであるが、もちろんボットもその例に漏れない。ボットはウイルス、ワーム、スパイウェアなどと同じ方法でPCに侵入してくることは前回述べた。つまり、ボットの侵入を防ぐには、マルウェア対策ソフトやファイアウォール、検疫システムの導入といったワームやスパイウェアへの基本的な対策を確実に行うことが必要である。詳しくはこれまでの連載の内容を参照してほしい。

■未知のボットへの対策も必要
 一部のボットはアンダーグラウンドなサイトで、そのソースコードが公開されており、ツールを使って簡単に亜種を作成できる。2005年度の初頭に大手ISPの連携組織であるTelecom-ISAC Japanがボットの実態調査を行ったところ、1日に約80種類もの新種・亜種が確認されたという(詳しくはTelecom-ISAC Japan 第1回JPCERT/CC共催セミナー報告 [PDF]を参照してほしい)。

 このような現状に対して、シグネチャマッチングを行う従来型のマルウェア対策では、定義ファイルが更新されるまで新種や亜種を検知できない。このため、シグネチャマッチングに加えてヒューリスティック検知機能などを利用して、未知のボットも検知できるようにしておきたい。

図2:ヒューリスティック検知機能の例(Symantec AntiVirus Corporate Edition 9.0の場合)

 ただし、ヒューリスティック検知は「(マルウェア)らしさ」を検知するものであり、検知すべきマルウェアを見逃したり、正常なプログラム・通信を誤ってマルウェアであると検知したりしやすいという問題を抱えているため、万能ではないことに留意しなくてはならない。

ボットサーバによるボット制御への対策

 前回、ボットは起動するとボットサーバに接続し、そこから命令を受信して命令通りに行動することを紹介した。逆の言い方をすれば、ボットが命令を受信できないようにすることで、DoS攻撃やスパムメール送信といった加害行為を防げられると考えられる。実際、いくつかのボットで検証したところ、ボットサーバからの命令がなければ感染の拡大すら行わず、起動時にボットサーバと通信ができなければ、その時点で自身のプロセスを終了させることが確認できた。つまり、ボットサーバとの接続を断つことで、ハーダによるボット制御という脅威を抑止することができる。

■クライアントPC 上での対策
 クライアントPC上で実施できる対策としてパーソナルファイアウォールを利用する方法がある。パーソナルファイアウォールの設定を、許可したプログラム以外の通信を遮断するようにすることで、ボットがボットサーバと通信しようとしても、これを遮断することができる。また、ボットがセキュリティを低下させる機能を有していて、パーソナルファイアウォールが無効化された場合は、クライアントPC上でボットサーバとの接続を遮断することが難しいので、下記のようなネットワーク側での対策も併用する。

■ネットワーク側での対策
 ボットは命令の送受信にIRC (Internet Relay Chat)プロトコルを使うものが多い。ファイアウォールで外部との通信を普段から使用するもの(例えばウェブアクセスや規定のメールサーバによる通信)以外を遮断することで、通常のインターネットの利用を妨げずにボットサーバとの通信を遮断することが可能である。家庭内であっても、ブロードバンドルータやモデムなどがファイアウォール機能を備えていれば、こういった対策が可能である。

 普段からユーザーが使用するようなプロトコルを使ってボットが通信をする場合、上記のようなファイアウォール設定ではボットサーバとの通信を遮断できない。このようなボットに対しては、企業内ネットワークなどであれば、ユーザー認証機能付きのプロキシなどを併用することで、ボットが認証なしに外部のボットサーバと接続することを防げる。また、これにより、異常なトラフィックも遮断できるので、ボットによるユーザーPCからの加害行為を未然に防ぐ効果も見込める(図3)。

図3:ネットワーク側の対策でボットの通信を遮断

ハーダによるボットネットへの一斉制御への対策

 ここまで述べてきたような対策で、ボットの脅威から個々のPCやネットワークを防御することはできる。しかし、ハーダのボットネット制御を防げなければ、ボットネットの脅威から社会全体を守ることは難しい。より広域にネットワークを監視し、ハーダPCやボットサーバの発見・隔離を行うような直接的な対策も必要である。個人や企業だけではこのような対策は難しく、政府やISP、各種ベンダーが協力して実施しなくてはならない。

 現在、Telecom-ISAC Japanでは各ISPがボットネットの実態を継続調査しており、情報処理推進機構(IPA)でも民間に対して注意喚起を行っている。政府でも、昨年7月に、各省庁横断的に民間部門と連携してボットネット対策を進めていくことが決まった。ユーザー側も自身のボット対策だけでなく、IPAやマルウェア対策ベンダーなどに、ボットやハーダに関する情報の提供を積極的に行っていき、社会全体でボット対策に取り組んでいく必要がある(「情報セキュリティ政策会議(第1回)早期に着手すべき政府統一的・横断的課題」やIPAの「コンピュータウイルスに関する届出について」を参照してほしい)。

 最終回である次回は、マルウェアの今後と対策の課題について述べる。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR