"ボットネット概要"発表 - ISS高橋氏・ラック新井氏がボットを語る

 

既報の通り、JPCERT コーディネーションセンター(JPCERT/CC)は20日、ボットネットの研究資料として「ボットネット概要」を公開した。この報告書は、JPCERT/CC、トレンドマイクロ、ラック、インターネットセキュリティシステムズ(ISS)が、ボットネットの実態と脅威の把握を目的として、2005年度に共同研究したものだ。

詳細は「ボットネット概要」全32ページをご参照頂くとして、本稿では20日の会見で示された報告と、その後の取材から、ボット/ボットネットの現在を探った。

ボットネットの特徴は「コントローラブル」

ISS 最高技術責任者兼エグゼクティブ セキュリティ アナリスト 高橋正和氏

インターネットセキュリティシステムズの最高技術責任者兼エグゼクティブ セキュリティ アナリストの高橋正和氏は、JPCERT/CCが開催した20日の記者会見にゲストスピーカーとして登壇した。その席上で高橋氏は、「CodeRedやBlasterはトラフィックだけを見ていても(特徴的で)分かりやすい。しかし、ボットはシステムを止めたりしないため、(感染に)気づきにくい」と、ボットの特徴を指摘する。

イメージが掴みにくいボットだが、高橋氏はボットとワームの違いを「ワームは紐がついていない。一度感染したら行けるところまで突き進む『ドミノ型』とも言えるだろう。一方ボットは、コントロールすることが可能」と説明。その上で、「ボットネットはマルウェアの名称ではなく、『環境』なのだ」と位置付ける。

このように、ボットネットの運営者(ハーダー)は、リモートから感染PCをコントロールすることが可能だ。遠隔操作で大量のスパムメールを発信したり、特定サイトにDDoS攻撃を仕掛けることができる。そのため、これまでセキュリティベンダらはボットネットの時間貸しなど、ハーダーと依頼人との間に金銭の授受があると指摘していた。高橋氏も、「ブラックマーケットとのつながりは、ほぼ確実」との認識を示している。米国などでは逮捕者も出ているが容疑は脅迫がほとんどで、「氷山の一角だろう」(高橋氏)。

ボットのアンチウイルスソフト対策

今回の研究に携わり、MYCOMジャーナルでコラム「ITセキュリティのアライ出し」を執筆しているラックの新井悠氏は、「(今回の共同研究に、ラックからは)私を含め3人が参加した。(新井氏以外の)2人は、ラックが抱える200人以上のセキュリティ技術者の中でも、最高のスキルと柔軟性の高い頭脳、そして倫理観を持っていると確信している」とする。ラックが担った役割は、「ボットの機能解析と、関連情報の収集・整理だ」(新井氏)。

同報告書の興味深い点の1つに、ボット/ボットネットの機能の一端を示した「自己防衛」がある(2.3.3)。

この中で、パターンマッチング対策として紹介されているのが、圧縮ツールを用いた難読化だ。SymantecのKevin Hogan氏も指摘しているが、実行ファイルを実行可能なままパッキング(圧縮)=難読化させる手法で、これにより1つの実行ファイルが複数のパターンをもつことになり、シグネチャ(定義ファイル)ベースでの検知を逃れることができる。しかし、高橋氏は「少し前まではハーダーに有利な状況だったが、現在は対策が進んでいる」と語る。

シグネチャベースでの対策に限界が見えているように思えるが、その対策とはどのようなものなのか。それは、「ヒューリスティックやビヘイビアベースで、(プログラムの)ふるまいを見ての対策」(高橋氏)なのだという。新井氏によると、この対策は既に実用段階にあるとのことで、「すでに製品も出荷されている」。

「日本国内においても、特定の組織・企業をねらった悪性プロラムが発生しているため、こうした技術的対策が求められるようになるだろう。特に国産の技術に期待を寄せている」(新井氏)

同報告書ではAgobotの機能として、「デバッガ上またはVMware等の仮想システム上で実行されていることを検出する機能があり、これを検出した場合、活動を停止したり、自分自身を消去するものがある」と記載されている。

このことに関連して、政府は先頃、産官学共同で次世代OS基盤環境「セキュアVM」の開発を発表。あわせてこれを、オープンソースソフトウェア(OSS)として公開することも明らかにした。

高橋氏はこのことに関して、「(マルウェアやボットを)大量にばらまくマス型として考えるか、標的を絞るスピア型として考えるかで異なる」と語る。続けて、「ボットはどちらかと言うとスピア型だ」とつけ加えた。

セキュアVMは、完成後にまず政府機関の職員のPCに導入されることが決定している。

月に1度のペースでボットネットの情報を提供するJPCERT/CC

「ボット/ボットネットは、ため息が出るほどよくできたシステム。それは、この報告書を一読すれば認識できる」と新井氏。悲観的な心持ちになってしまうが、「こうした地道な取り組みをすることで、脅威を明瞭にし、情報セキュリティ対策をすすめていくことこそが肝要だ」と語った。

JPCERT/CCでは今後、8月に「ボットネットの用語」、9月に「ボットネットの実態」、10月にボットネットの「対策」を、順次公表していく予定だ。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

NTTデータ、マイナンバーの公的個人認証活用の本人確認ソリューション
[11:47 7/28] 企業IT
シーラカンスの胸ビレから人間の腕の筋肉の原型を発見 - 金沢工大など
[11:44 7/28] テクノロジー
デジタル造形の「ホントのところ」徹底分析 - ワンフェス2016[夏]
[11:40 7/28] パソコン
横河レンタ・リース、従業員向けインストールパッケージ作成ソリューション
[11:30 7/28] 企業IT
[小倉智昭]「とくダネ!」が放送回数最多に 17年4カ月で無遅刻4452回
[11:17 7/28] エンタメ

求人情報