ボット感染事件簿--早期発見でシステム再構築回避 - (page 2)

神永裕人(イエローリポーツ)

2009-03-03 08:00

感染発見までのスピードが勝負

 ボットの蔓延を食い止めるには、感染の可能性をいかに短期間で発見できるかが勝負の分かれ目となる。コンピュータに侵入したボットは、自らをバージョンアップし、凶悪化の度合いを高めると同時に、セキュリティホールを抱えているほかのコンピュータにも感染を広げていくからだ。

 もし感染発見までに期間がかかってしまうと、社内はもとより、自社のネットワークにつながっている協力会社、インターネットを介して不特定多数へと果てしなく広がっていく。時間を置けば置くほど、感染しているかどうかを調査すべき対象は幾何級数的に増大してしまうのだ。当然、ボット駆除作業のための手間も膨大になる。

 さらに、完全に駆除しきれないと判断された場合には、必要なデータファイルなどをバックアップした上で、コンピュータを一から再構築しなくてはならない羽目になる。最悪の場合、システム全体のコンピュータやサーバに対し、OSやドライバ、アプリケーションをインストールし、設定を行い……、と考えただけで恐ろしい事態となってしまうのだ。

 大きな被害をもたらすボットだが、その発見の機会は、「感染行動中」、「潜伏中」、「活動中」の3回ある。ただし、前の2つの機会は対応が極めて難しい。OSなどのセキュリティホールが発覚してからこれを塞ぐためのパッチが提供されるまでのタイムラグを利用したゼロデイ攻撃、ボットの詳細が分かってからアンチウィルスソフトの定義ファイルが配布されるまでのタイムラグ。こうした隙を突いてボットは楽々と侵入し、潜伏する。また、新しいボットは1日に数十という極めて速いスピードで作られており、その亜種も大量に生まれている。完全な感染防止対策が事実上不可能であることは、こうした事実からも理解できるだろう。

 唯一、確実な発見が可能なのは、ボットが活動している最中である。指令者とのやりとり、今回の事件のようなサーバへのアクセスといった活動の痕跡が、何らかのログに残されるからだ。「記録したログを定期的にチェックしていけば、ログの異常、すなわちボット感染の疑いを“あぶりだす”ことができます」と、ログ統合管理システムの構築案件を数多く手がけてきた株式会社ラックのプロフェッショナルサービス事業部インテグレーションサービス部、清水和幸部長も指摘する。ログの管理と監視は、ボット感染の発見、ボットに感染していないことの証明、という二重の意味で極めて重要なのだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]