都内で開催中のRSA Conference Japan 2007の初日、「プロが語る情報セキュリティの真実」と題したパネルディスカッションが開かれた。セキュリティ業界の最前線にいる4人が、現状のセキュリティの課題などについて話し合った。話題はボットネット、標的型攻撃、脆弱性、P2Pネットワークと、現在の問題に根ざしたトピックとなった。
ディスカッションに参加したのはラックの新井悠氏、JPCERT コーディネーションセンターの伊藤友里恵氏、マイクロソフトの奥天陽司氏、Telecom-ISAC Japanの小山覚氏(NTTコミュニケーションズ)と、業界ではおなじみの4人。モデレーターは日経BP社 日経パソコン誌の副編集長・勝村幸博氏だった。
さらに見つかりにくく、巧妙化するボットネット
まず、ラックの新井氏がボットネットに関して説明。ボットは、Herderと呼ばれるボットネットの所有者がIRCサーバ経由でボット感染マシンに指令を送り、それを受けた感染マシンが一斉にDoS攻撃を仕掛けるなどの攻撃を行う。
ところが、最近のボットネットを調査するために、ボットを収集して仮想的なインターネット環境で起動させたところ、起動して3秒以内に強制終了するボットがあったという。そのボットは感染動作を行わなかったため、調査研究を継続したところ、そうしたボットはIRCサーバではなくWebサーバに接続しようとしており、チャレンジ・レスポンスなどで認証を行った上で活動を行うために、そのWebサーバにアクセスできない仮想環境下では自動終了していたのだという。
感染活動を行わないため、ウイルス対策ベンダーなどで実際の動作を分析できず、対応できないことを期待した仕組みと考えられ、しかもサーバからの指令も暗号化されており、途中経路で命令を読み取られないような機能も含まれていたそうだ。
ボットの主流はまだIRCサーバだと言うが、全体の1~2割程度でWebサーバが使われ始めているとのことで、「新しいボットネット。(ボットネットが)進化していることが分かった」(新井氏)。
また、そうしたボットは単機能で活動内容が限られ、機能が少ないため見つけにくくなっているという。WebサーバとHTTP通信でやりとりするため、通常のWeb閲覧と同様にファイアウォールでの制御をすり抜けてしまう。新井氏は、通信にHTTPを使うボット以外のマルウェアの存在も指摘。HTTPを使ってさらに別のマルウェアをダウンロードするダウンローダーの数が増えていると話す。
新井氏によれば、ほかのマルウェアを取り込むことを「シーケンシャル動作」といい、SPAM ProxyやRootkit、アップローダーなどが取り込まれることが多いそうだ。これらもHTTPを使って取り込まれ、新井氏は「ボットに限らず、マルウェアの動作がWebに収れんしていきそうな感じがある」という。
なお新井氏は、最近「P2Pボット」が登場しているというが、これは他のボットと同様にIRCサーバを使い、ボット自体の自己更新機能にP2Pを利用しているだけだそうだ。IRCサーバは同時に複数の端末に指令を出せるというメリットがあり、Herderにとっては「実績もあってある意味枯れている技術なので、あえて(ほかの技術を使うような)チャレンジをしなくても十分」(同)という認識があると推測する。
こうしたボットなどのマルウェアは、Webを使ったり、プロセスインジェクションを使って存在を隠したりと、技術的にはより巧妙化している。
これに対して小山氏は、「巧妙化するのは当然」と指摘する。攻撃者にとってボットネットは犯罪収益を上げるためのインフラで、それを見つけられないように「日々創意工夫するのは当然」(小山氏)だからだ。攻撃側は日々進化しているのに、防御側は、以前のボット対策のままであり、「変化する脅威に追いつきながら、対策はできないまでも、現状を把握するのが大事」(同)と、継続的な調査研究の必要性を訴える。
伊藤氏も、JPCERT/CCに寄せられるインシデント報告から、攻撃側の手口がどんどん変わってきているのが見えてきているという。ボットなどに感染している端末は、世界中で大量の数に上っているうえに、マルウェアは検知しにくくなっており、伊藤氏は今後さらに手口は巧妙化していくと見る。
奥天氏は、初めてボット対応をしたのが4年ほど前で、それ以来、同じ状況が続いているのが問題だと指摘する。また、Windows VistaにはUAC(ユーザーアカウント制御)が搭載され、ボットがPCに(ひそかに)インストールされようとしても、警告が表示されるようになっているため、マルウェアがメモリ上で動作するものが増えると予測する。
