2006年のボットやワームへの感染事例は、2005年の約1.5倍に増加した。特に、従来型のワームよりもボットによる大量感染の事例が多く、2006年下半期に急増していた。この原因の一つとして、監視サービスを提供している特定顧客内で多数のボット感染が発生したことを挙げている。
ボットへの感染がみられた環境は、共通した点がみられるという。それは、内部ネットワークからインターネットへの通信のアクセス制御が不十分であり、ボットが感染を広げやすい環境にあるとされる。そのため、ボットの感染拡大を低減するために、インターネットへの通信を必要最小限に制限することを対策として推奨している。
また、今後はボットが指令サーバ(ハーダー)から命令を受信する際に、80/tcp(HTTP)や443/tcp(HTTPS)などの一般的に使用されているポートを悪用される可能性があることを同レポートは示唆している。そのため、プロキシサーバなどを利用することにより、通信内容の精査や接続先の確認をするなどの対策も必要であるとしている。
 |
|
2005年から2006年にかけてのデバイス別ボット検知傾向 |
ボットやワームを検知したデバイスは、ファイアウォール(58%)がIDS/IPS(42%)よりもやや多い。したがって、ファイアウォールのログを解析することでも、多くのボット感染ホストの通信を発見することが可能であるという。そのため、内部ネットワークで発生するボットやワームへの感染を早期に発見するためには、ファイアウォールのログをリアルタイムで監視し、ファイアウォールが遮断した通信や許可している通信の内容などを把握することが最も効果的であるとしている。
IDS/IPSでボットを発見する際には、IDS/IPSのシグネチャの更新が重要となる。シグネチャを適用すると、それに合致するボットを発見することが可能になるからだ。しかし、内部ネットワークには、そのシグネチャには合致しない既存のボットや新たに発生したボットが発見されずに存在している可能性がある。そのため、新しいシグネチャの追加や既存のシグネチャを修正することで、新たなボットを検知する必要があるという。
例えば、JSOCではIDS/IPSベンダーが提供しているシグネチャの追加・更新に加え、独自のシグネチャ(JSIG)を開発・適用している。JSIGは、監視サービスを提供しているセキュリティアナリストが収集したボットの検体を日々解析し、特徴的な通信を取り込んで作成されたものである。このJSIGを適用することにより、インターネットからの不審な通信の約4割、内部ネットワークからの不審な通信の約2割を発見することが可能であるとしている。
ボットやワームへの感染および感染拡大を低減させるためには、以下の対策が推奨される。
- 内部ネットワークからインターネットへの通信を必要最小限に制限する
- プロキシサーバなどを利用し、通信内容の精査や接続先の確認を行う
- ファイアウォールのログをリアルタイムで監視する
- IDS/IPSのシグネチャを定期的に更新する
- ボット感染を想定したフェイルセーフにより被害範囲を最小限に留める
2005年と比較すると、2006年の攻撃傾向は以下のようになる。
| 項目 | 2005年 | 2006年 |
| 攻撃対象 | ベンダーが開発しているパッケージアプリケーション | 独自に開発したアプリケーション サーバやネットワークの運用不備 |
| 攻撃内容 | Webの改ざん 大規模に感染するワーム |
SQLインジェクション ボットの埋め込み |
| 攻撃規模 | 大規模(無差別) | 精査されている |
| 攻撃特徴 | 目立ちやすい | 目立ちにくい |
それでは、これらの推移から伺える侵入傾向の変化を次ページで紹介する。
