隠密活動の目的
次に、ボットネットが形作られる目的を考えてみましょう。攻撃者はなぜわざわざボットプログラムをばらまき、時には互いに勢力争いをしながら、ボットネットの拡張を図っているのでしょうか。
理由は一言、「お金」につきます。スパムメールの送信やDoS攻撃、その他さまざまな不正アクセスのインフラとしてボットネットをアンダーグラウンドマーケットに提供することが、お金儲けにつながっているのです。
さて、通常の企業活動でもそうですが、投資を行ったならばその効果を最大化したいと考えるのが自然なことです。ボットネットの作者たちも、同じように経済原則に従って活動しています。せっかく手塩にかけて作成したボットネットから得られる利益を最大化するために、彼らは、感染したPCを細く長く使い続けようとします。
このため、ボットは、私たちがすぐに気づくような派手な動作は行いません。ここも注意が必要なポイントです。
数年前に登場したウイルスの中には、感染すると打ち上げ花火のような画像を表示させたり、PCの再起動を繰り返すものがあり、すぐに「おや、何かおかしいな」と感づくことができました。ユーザーが気づいてしまえば、ウイルスは駆除されます。そうなれば、もう使い続けることはできません。
これに対しボットは、極力不審な挙動を見せずに潜伏活動を続けます。その例の1つが、ボット自身が作成したファイルやプロセスを隠す「Rootkit機能」です。また、Slammerのようにネットワークを麻痺させるような勢いで通信するのではなく、少しずつ少しずつスパムや攻撃パケットを送信し、通常の通信と見分けが付かないようにする、なんていう小細工も施しています。
ボットとC&Cサーバ側との通信にも同じことが言えます。初期のボットの多くはIRCを用いて命令を下していましたが、最近では、より気づかれにくいP2P通信を用いるものが登場してきています。
こうしてボットの「見えない化」を進め、不当な利益を最大化することが攻撃者の狙いなのです。
さて、対策は?
このような理由で、ボットの作者はどんどん「見えない化」を進めています。したがって、いったんPCにボットが忍び込んでしまうと、検出するのは非常に困難です。
となると、PCに侵入しようとする水際で食い止めるのが一番いいということになるのですが、実はこれも困難になっています。
「ゼロデイ攻撃」という言葉はご存じですか? まだ公にされておらず、したがってパッチも提供されていない状態の脆弱性を攻撃するものです。ボットがこの攻撃を使って忍び込もうとすると、いくらパッチを適用していて、OSを最新の状態にしていても防ぐことはできません。
次に「ターゲット型攻撃」や「スピア型攻撃」といった言葉はご存じでしょうか。特定の人物や組織だけに狙いを絞った、限定的な攻撃です。限定的ですから、ウイルス対策ソフトの定義ファイル作成に必要なサンプルの入手は困難になります。したがって、対応までの間は無防備な状況ということになります。
と、いうことで、結局は基本的なセキュリティ対策を実施し続けるしかありません。ゼロデイ攻撃の例を挙げましたが、既に知られている脆弱性を狙うボットも多数存在します。ですから、OSやアプリケーションのパッチを適用し、常に最新の状態に保つとともに、ウイルス対策ソフトも更新し続けていくことが、ボット対策の第一歩です。
次に心がけたいのは「君子疑わしきに近づかず」です。ボットの侵入経路の1つが、電子メールやウェブサイトに含まれるURLを介して、悪意あるサイトに誘導し、そこからボットをダウンロードさせるというものです。ですから、不用意にリンクをクリックしないよう注意することも大切です。
また、中にはWindowsの共有フォルダを悪用し、パスワードを破って侵入してくるボットも存在します。これに対しては、推測しにくいパスワードを設定し、定期的に変更することが有効です。これもセキュリティ対策の基本ですね。
それでも心配ならば、年に1〜2回の頻度でマシンをフォーマットし、クリーンインストールし直すのも一つの手でしょう。むろんその後には、最新のパッチを適用し直すことも忘れずに。無防備な状態のPCをインターネットに接続すると、ほんの数分でボットに感染してしまうというデータもあります。
あなた自身が、そして周囲の人々がボットの被害に遭わず、快適にインターネットを利用していくために、ぜひ今いちど、セキュリティ対策の基本を徹底してください。