Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

企業の大きな脅威「botnet」にご注意を

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2005/1/28号)」に掲載されたものです。

多様化するウイルス

ウイルスの多様化が進んでいる。メールで拡散を続けるワーム、他プログラムを装って侵入するトロイの木馬、キーの入力を盗み取るキーロガーといったスパイウェアなど手口も多岐にわたる。なかにはカメラを利用した盗撮など、SF映画に出てくるようなウイルスや、ニュースタイトルを利用することで、ユーザーの気を引くなど、悪質なものも多い。

PC接続カメラでスパイ活動? -  スペイン警察が容疑者を逮捕
http://www.security-next.com/001320.html

ソフォス、最新ニュースの見出しを装うワームに注意を喚起
http://www.security-next.com/001306.html

そのなかで特に企業ユーザーが注意しなくてはならないのが「botnet」だ。「bot」は、一般的にネットワーク上のPCをリモート環境で操作できるプログラムだが、ここで言う「botnet」は、悪意ある攻撃者が、ワームやトロイの木馬などさまざまな手段を用いて、自分の意のままに操作できる「bot」を拡散させるものだ。

攻撃者は、指令サーバを介して、感染した(botがインストールされた)コンピュータに対して命令を行うことで、一斉攻撃を仕掛けることができる。政府機関や企業などへのサイバーテロに利用でき、被害規模も大きい。

ブロードバンドなど、常時接続しているユーザーは、これら「bot」に感染すると、気がつかない間に攻撃者となってしまうわけだ。実際、プログラムの動作状況などは隠蔽されており、気がつかないケースが多い。

破壊の限りを尽くす

これら攻撃に用いられる「bot」には、他PCへ感染する自己増殖機能やスパム配信機能、情報の搾取を行うスパイウェア機能を持ったものなど、ありとあらゆる破壊活動を行う。また、アップデート機能を備えたものまであるというから驚きだ。感染活動も、OSやソフトウェア脆弱性や他ワームなどのバックドアによる侵入、パスワードの解析など、あらゆる手段を利用する。

亜種が多数存在している点も脅威だ。ソースコードがインターネット上で出回っており、次々と新機能を搭載した「bot」が生まれる。脆弱性情報が公開されれば、それら弱点をついたプログラムがすぐに登場する。まさにイタチごっこの世界だ。

警察庁をはじめ、各セキュリティベンダーは、「botnet(ボットネット)」に対して警戒するよう注意を促している。非常に多数端末からDoS攻撃などを受けることにより、企業サイトなど、サービス不可といったダメージを負う。これら脅威を用いた恐喝事件が実際にイギリスで発生しているという。

警察庁のサイバーフォースセンターが観測を行っており、資料を公開しているが、同資料によれば、11月末に登場した某botnetは、毎日3万台近いbotが操作され、感染したと推定されるIPアドレスは、23万5000件に上ったという。国内でも1万8000件が感染しており、未だ気がついていないユーザーも多い。また、12月5日に突如bot数が0件となるが、プログラムが更新されたためで、別のbotnetとして再び登場したという。

@police
http://www.cyberpolice.go.jp/

マカフィー、2004年11月のウイルス検知状況を発表
http://www.security-next.com/001107.html

eコマースサイトやWebアプリが標的 - シマンテックセキュリティレポート
http://www.security-next.com/000904.html

企業にとって二重の脅威

まず、企業として恐ろしいのは、DoS攻撃によるサービス停止だろう。サービスが停止すればイメージ劣化を招く。またeコマースサービスなどを提供していれば、業務停止による逸失利益が発生するのはもちろん、利用者に損害を与えてしまった場合、賠償責任が問われるだろう。

しかし、企業においてbotnetの脅威はDoS攻撃だけではない。社内PCへの感染だ。被害者になりながら、同時に踏み台という加害者となってしまう。他企業などへ攻撃を繰り返した場合、管理責任が問われ、裁判沙汰になる可能性も高い。

「bot」の感染活動においては、グローバルIPやドメインとは限らず、プライベートIPへ感染活動を行うものもある。また、メール経由で取引先へ感染する恐れもあるだろう。さらに攻撃者が個人情報や機密情報を盗み出す可能性も高い。

防御するにはどうすれば良いか。OSの脆弱性を攻撃するものが多いため、セキュリティパッチがリリースされたら速やかに適用することが重要だ。また、ウイルス対策ソフトやスパイウェア検出ソフトなども活用したい。

攻撃にはIRCを利用されることが多い。ファイアウォールなどにより利用しないポートを遮断しておくことも効果的だ。しかしながら、他ポートを利用したり80番ポートを利用するものが登場するなど、完全に防ぐことは難しい面もある。この点は従来からのウイルスやワーム対策と変わらない。

botnetは、指令サーバと交信する性質があるので、IDSなどにより不審なサーバと接続されていないかチェックする仕組みは有効だろう。

これを機会に、技術的な対処はもちろん、社員に対してこれら脅威へ近づかないよう社内教育を徹底したり、保険によってリスクヘッジをかけておくなど、ウイルス、ワーム、スパイウェアを含めた総合対策をしておくと良いだろう。

(Security NEXT - 2005/03/10 ) このエントリーをはてなブックマークに追加

PR

関連記事

事前対策や監視を組み合わせた「ランサムウェア対応支援サービス」
研修申込者情報を会員企業へ誤送信 - 日本医療機器販売業協会
シンポ申込者情報が閲覧可能に、フォーム誤設定 - 商事法務研究会
システム誤設定で信用情報を同意なし提供 - 沖縄海邦銀
仏教関連グッズの通販サイトに不正アクセス - 個人情報流出の可能性
リコー製プリンタや複合機など142機種に深刻なRCE脆弱性
「MS Edge」にアップデート - 「クリティカル」脆弱性に対処
PTZOptics製カメラにRCE脆弱性 - 米政府が悪用に注意喚起
10月の脆弱性悪用警告は17件、前月の約3分の2に - 米CISA
先週注目された記事(2024年10月27日〜2024年11月2日)