感染発見までのスピードが勝負
ボットの蔓延を食い止めるには、感染の可能性をいかに短期間で発見できるかが勝負の分かれ目となる。コンピュータに侵入したボットは、自らをバージョンアップし、凶悪化の度合いを高めると同時に、セキュリティホールを抱えているほかのコンピュータにも感染を広げていくからだ。
もし感染発見までに期間がかかってしまうと、社内はもとより、自社のネットワークにつながっている協力会社、インターネットを介して不特定多数へと果てしなく広がっていく。時間を置けば置くほど、感染しているかどうかを調査すべき対象は幾何級数的に増大してしまうのだ。当然、ボット駆除作業のための手間も膨大になる。
さらに、完全に駆除しきれないと判断された場合には、必要なデータファイルなどをバックアップした上で、コンピュータを一から再構築しなくてはならない羽目になる。最悪の場合、システム全体のコンピュータやサーバに対し、OSやドライバ、アプリケーションをインストールし、設定を行い……、と考えただけで恐ろしい事態となってしまうのだ。
大きな被害をもたらすボットだが、その発見の機会は、「感染行動中」、「潜伏中」、「活動中」の3回ある。ただし、前の2つの機会は対応が極めて難しい。OSなどのセキュリティホールが発覚してからこれを塞ぐためのパッチが提供されるまでのタイムラグを利用したゼロデイ攻撃、ボットの詳細が分かってからアンチウィルスソフトの定義ファイルが配布されるまでのタイムラグ。こうした隙を突いてボットは楽々と侵入し、潜伏する。また、新しいボットは1日に数十という極めて速いスピードで作られており、その亜種も大量に生まれている。完全な感染防止対策が事実上不可能であることは、こうした事実からも理解できるだろう。
唯一、確実な発見が可能なのは、ボットが活動している最中である。指令者とのやりとり、今回の事件のようなサーバへのアクセスといった活動の痕跡が、何らかのログに残されるからだ。「記録したログを定期的にチェックしていけば、ログの異常、すなわちボット感染の疑いを“あぶりだす”ことができます」と、ログ統合管理システムの構築案件を数多く手がけてきた株式会社ラックのプロフェッショナルサービス事業部インテグレーションサービス部、清水和幸部長も指摘する。ログの管理と監視は、ボット感染の発見、ボットに感染していないことの証明、という二重の意味で極めて重要なのだ。
