Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

企業の大きな脅威「botnet」にご注意を

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2005/1/28号)」に掲載されたものです。

多様化するウイルス

ウイルスの多様化が進んでいる。メールで拡散を続けるワーム、他プログラムを装って侵入するトロイの木馬、キーの入力を盗み取るキーロガーといったスパイウェアなど手口も多岐にわたる。なかにはカメラを利用した盗撮など、SF映画に出てくるようなウイルスや、ニュースタイトルを利用することで、ユーザーの気を引くなど、悪質なものも多い。

PC接続カメラでスパイ活動? -  スペイン警察が容疑者を逮捕
http://www.security-next.com/001320.html

ソフォス、最新ニュースの見出しを装うワームに注意を喚起
http://www.security-next.com/001306.html

そのなかで特に企業ユーザーが注意しなくてはならないのが「botnet」だ。「bot」は、一般的にネットワーク上のPCをリモート環境で操作できるプログラムだが、ここで言う「botnet」は、悪意ある攻撃者が、ワームやトロイの木馬などさまざまな手段を用いて、自分の意のままに操作できる「bot」を拡散させるものだ。

攻撃者は、指令サーバを介して、感染した(botがインストールされた)コンピュータに対して命令を行うことで、一斉攻撃を仕掛けることができる。政府機関や企業などへのサイバーテロに利用でき、被害規模も大きい。

ブロードバンドなど、常時接続しているユーザーは、これら「bot」に感染すると、気がつかない間に攻撃者となってしまうわけだ。実際、プログラムの動作状況などは隠蔽されており、気がつかないケースが多い。

破壊の限りを尽くす

これら攻撃に用いられる「bot」には、他PCへ感染する自己増殖機能やスパム配信機能、情報の搾取を行うスパイウェア機能を持ったものなど、ありとあらゆる破壊活動を行う。また、アップデート機能を備えたものまであるというから驚きだ。感染活動も、OSやソフトウェア脆弱性や他ワームなどのバックドアによる侵入、パスワードの解析など、あらゆる手段を利用する。

亜種が多数存在している点も脅威だ。ソースコードがインターネット上で出回っており、次々と新機能を搭載した「bot」が生まれる。脆弱性情報が公開されれば、それら弱点をついたプログラムがすぐに登場する。まさにイタチごっこの世界だ。

警察庁をはじめ、各セキュリティベンダーは、「botnet(ボットネット)」に対して警戒するよう注意を促している。非常に多数端末からDoS攻撃などを受けることにより、企業サイトなど、サービス不可といったダメージを負う。これら脅威を用いた恐喝事件が実際にイギリスで発生しているという。

警察庁のサイバーフォースセンターが観測を行っており、資料を公開しているが、同資料によれば、11月末に登場した某botnetは、毎日3万台近いbotが操作され、感染したと推定されるIPアドレスは、23万5000件に上ったという。国内でも1万8000件が感染しており、未だ気がついていないユーザーも多い。また、12月5日に突如bot数が0件となるが、プログラムが更新されたためで、別のbotnetとして再び登場したという。

@police
http://www.cyberpolice.go.jp/

マカフィー、2004年11月のウイルス検知状況を発表
http://www.security-next.com/001107.html

eコマースサイトやWebアプリが標的 - シマンテックセキュリティレポート
http://www.security-next.com/000904.html

企業にとって二重の脅威

まず、企業として恐ろしいのは、DoS攻撃によるサービス停止だろう。サービスが停止すればイメージ劣化を招く。またeコマースサービスなどを提供していれば、業務停止による逸失利益が発生するのはもちろん、利用者に損害を与えてしまった場合、賠償責任が問われるだろう。

しかし、企業においてbotnetの脅威はDoS攻撃だけではない。社内PCへの感染だ。被害者になりながら、同時に踏み台という加害者となってしまう。他企業などへ攻撃を繰り返した場合、管理責任が問われ、裁判沙汰になる可能性も高い。

「bot」の感染活動においては、グローバルIPやドメインとは限らず、プライベートIPへ感染活動を行うものもある。また、メール経由で取引先へ感染する恐れもあるだろう。さらに攻撃者が個人情報や機密情報を盗み出す可能性も高い。

防御するにはどうすれば良いか。OSの脆弱性を攻撃するものが多いため、セキュリティパッチがリリースされたら速やかに適用することが重要だ。また、ウイルス対策ソフトやスパイウェア検出ソフトなども活用したい。

攻撃にはIRCを利用されることが多い。ファイアウォールなどにより利用しないポートを遮断しておくことも効果的だ。しかしながら、他ポートを利用したり80番ポートを利用するものが登場するなど、完全に防ぐことは難しい面もある。この点は従来からのウイルスやワーム対策と変わらない。

botnetは、指令サーバと交信する性質があるので、IDSなどにより不審なサーバと接続されていないかチェックする仕組みは有効だろう。

これを機会に、技術的な対処はもちろん、社員に対してこれら脅威へ近づかないよう社内教育を徹底したり、保険によってリスクヘッジをかけておくなど、ウイルス、ワーム、スパイウェアを含めた総合対策をしておくと良いだろう。

(Security NEXT - 2005/03/10 ) このエントリーをはてなブックマークに追加

PR

関連記事

「PAN-OS」脆弱性に対する攻撃が増加 - コマンドで悪用試行を確認可能
認可保育所に無関係の副食費免除対象者情報を誤送信 - 青梅市
市内小学校で児童指導要録抄本が所在不明に - 川崎市
被災労働者の個人情報含むファイルをメール誤送信 - 労働基準監督署
ウェブサーバが迷惑メール送信の踏み台に - タカラベルモント
「JVN iPedia」登録、前四半期から4割減 - 累計20万件を突破
WP向けメールマーケティングプラグインにSQLi脆弱性
HashiCorpのGo言語向けライブラリ「go-getter」に脆弱性
Cisco、セキュリティアドバイザリ3件を公開 - 一部でPoCが公開済み
「Chrome 124」が公開 - セキュリティ関連で23件の修正

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.