セキュリティの現場から from バラクーダラボ(24) 知っておくべきボットネットの新たな6つのトレンド

ボットネットは最近、セキュリティ関連のニュースとして頻繁に取り上げられています。以前ボットネットは主に大量のスパム生成やネットワークレイヤへのDDoS攻撃、金品を詐取するためのゆすりや脅迫メールなどに使用されていました。しかし現在では、ボットネットベースのインフラはサイバースパイ活動やバンキングボットネット、IPの盗用などあらゆる攻撃に使われています。

以下に、最近悪評を高めているいくつかのキートレンドを挙げてみます。

1. ソフトスポットへの攻撃：アプリケーションとセッションレイヤ

DDoS攻撃とボットネットに関する私たちのホワイトペーパーでも説明しているとおり、DDoS攻撃はネットワーク（TCP、UDP、ICMP）から、アプリケーションやセッションレイヤへとその対象が高度化してきています。ターゲットにはプロトコル（HTTP、SSL、XML）やプラットフォーム（Apache、PHP、Perl、Java、Oracle）の他、アプリケーションそのものも含まれます（例：セッションエグゾーション：セッションの消耗）。

特筆すべきは、これらの攻撃は攻撃者に有利になるよう非対称形式がとられていることです。この攻撃のトラフィックは通常のプロトコルとスタンダードに適合しているため、従来のシグネチャベースのセキュリティ機器に検出されることはありません。以下の図は、最近私たちが確認したアプリケーションレイヤに対するDDoS攻撃の内容を示しています。

SSLの再ネゴシエーションとフラッディング（データ過多による氾濫）、HTTP GET flood、slowloris（DDoS攻撃に使われるソフトウェア名）、および他のプログラムは、アプリケーションプロトコルレイヤの脆弱なサーバ領域をターゲットにしています。プログラミングプラットフォームやWebサーバを悪用する例として、ハッシュコリジョン（hash collision）攻撃やapacheキラー攻撃が挙げられます。セッションエグゾーションとビジネスロジック攻撃に関しては、私たちのチーフブロガーであるクリスティーン・バリー（Christine Barry）が過去に記事を投稿しています。

Barracuda Web Application FirewallとBarracuda Load Balancer ADCでは、これら全ての攻撃を軽減する手助けをしています。ハッシュコリジョン攻撃などは設定不要で防止することが可能で、他の攻撃に対しても簡単な設定で対応できます。

Stratecastによると、アプリケーションへのDDoS攻撃は年間3桁の勢いで増加しており、またガートナーは、アプリケーションレイヤに対する攻撃は、2013年にはDDoS攻撃全体の25%を占めるだろうと試算しています。

2. バンキングトロイ：預金の流れを追跡

上記でも述べたように、ボットネットはかつてのDDoS攻撃や脅迫、スパム、クリック詐欺（儲けは数千ドル程度）といったものから、より洗練され数百万ドルの利益につながる攻撃へと移ってきています。例えば、最近米国やEUで注目を浴びたバンキングトロイの出現が挙げられます。これらのマルウェアは、ZeusやSpyEyeといったすでによく知られているボットネットのインフラを利用しています。高額残高を有する銀行口座をターゲットにし、二要素認証すらもかいくぐり、複数レイヤのセキュリティを突破します。マルウェアはユーザ側のPCに潜んでおり、ユーザがログインするやいなや自動的に送金処理を開始します。

この事態を後押ししているのは、個人口座が法律によって詐欺被害から保護されている国はあるものの、対する中小企業が保護対象になっている国が少ないという事実です。また一般的に企業の口座のほうが個人口座より残高が多いため、犯罪者にとっては格好のターゲットになるのです。

3. モバイルと進化するWebの悪用

スマートフォンとタブレットの普及にともない、ボットマスター達はrootstrapやandroid.backscriptといった手法を使って両端末を餌食にし始めており、ボットネットの新しい活動領域となっています。モバイル端末は近年飛躍的に強力になってきており、クアッドコアプロセッサと数ギガバイトのRAM、高速インターネット接続などによってソーシャルやビジネスのアプリケーションにシームレスに繋がることができるようになりました。しかしエンドポイントのセキュリティソフトウェアの不在は攻撃対象の拡大を助長しています。適切な保護処置が施されていないDubious appsやapp storeは、氾濫するボットネットマルウェアの大きな脅威にさらされていると言えます。

また、従来の非モバイル端末のブラウザを介したapp storeやプラグインにしても、HTML5の出現やbrowser as a platform（ブラウザをプラットフォームとして利用する手法）によりユビキタス化しています。残念ながらこれらの動向も、悪意のあるプラグインを介して、あるいは脆弱性を悪用することで、疑うことを知らないユーザの端末に対する足掛かりをボットネットに与えてしまっています。

4. クラウドインフラの悪用

最近の米国の銀行に対するDDoS攻撃の増加は、感染したクラウドベースのインフラ（サーバやデータセンタ）を利用しているようです。これは以下の2つの理由により心配な傾向だと言えます：

マルウェアがホストベースのセキュリティソフトウェアに感知されないまま存在し続けてしまう。
攻撃者がクラウドインフラの膨大な計算能力と帯域リソースを活用できてしまう。

一言で言えば、ボットマスタ―達はモバイルやソーシャルネットワーク、クラウドの進化のシナジーをも利用しているのです。

5.正当なサイトを介したボットネットマルウェアの配布

ドライブバイダウンロードは、ボットを広める主要な手段の1つです。悪意のあるサイトを介して、ユーザが気づかないうちにBlackholeのようなブラウザを悪用するツールに感染させ、ボットネットに引き込みます。検索エンジンやブラウザのメーカーなどもこのような悪意あるサイトやフィッシング攻撃に晒されます。その結果、正当なサイトも攻撃に必要な情報を埋め込まれ、ボットマスタ―達は侵害された正当なサイトを介しても同様にダウンロードによる配布を行うようになっています。

セーフブラウジングに関するGoogle Transparencyレポートでもこの現象の規模が明らかにされているように、現在では正当なサイトが大多数のマルウェアの配布元になっています。

6. ボットネットのコモディティ化

かつてはボットネットのソースコードはサイバー犯罪者達の「知的財産」として極秘にされてきました。もしボットネットを所有したければ、自分でコードを書いて運用するしかありませんでした。

しかし、例えばマイクロソフトのZeusに対する追跡劇など、最近起きた有名なボットネットの弱体化のニュースの後、多くの古参ボットネット運用者達はボットネットのソースコードを書換え、別バージョンとしてアングラのフォーラムで販売するということを始めました。これは利益につながるメインストリームのビジネスモデルのコピーであり、モジュール単位のライセンスや機能の違いによる価格設定がなされ、定期的にアップデートされ、その上スマートなリリースマネジメントのメソッドまで採用されています。

これは、洗練されたボットネットソフトウェアがコモディティ化されたことを意味しており、悪いニュースだと言えます。つまりテクノロジに疎い者でさえ、利用できるようになってしまったのです。

ヘルプが必要ですか？

私たちバラクーダネットワークスでは、DDoSやボットネット攻撃のリサーチを日常業務の一部として行っています。私たちはボットネットの流入や攻撃のルートを防ぐお手伝いをするソリューション群を提供しています。その中には、スパムボットやフィッシング、ドライブバイダウンロード、その他のボット感染からメールやWebブラウジングを守る Barracuda Spam & Virus FirewallとBarracuda Web Filter、またアプリケーションやネットワークをボットネット攻撃から守るBarracuda Web Application Firewall、Barracuda Load Balancer ADC、そしてBarracuda NextG Firewallが含まれます。

そして、キーロガーやフレームグラバーなどのクライアントサイドのマルウェアに対抗するBarracuda Safe Browserの存在もお忘れなく。