Bot とは
公開日: 2004年11月24日
マイクロソフト株式会社 セキュリティ レスポンス チーム マネージャ 奥天 陽司
.jpg) |
皆様こんにちは。マイクロソフト セキュリティ レスポンス チーム マネージャの奥天です。 セキュリティ ニュースレターをご購読いただき、ありがとうございます。日々、緊急性の高い仕事をこなしていると、こういったコラムの原稿を書くのがとても前向きな仕事に感じます。今号から、セキュリティにまつわるコラムを執筆いたしますので、ぜひ何かの足しにしていただければと思います。 今回のコラムでは、いきなり濃い話題となりますが、Bot と Botnet に触れたいと思います。 |
Bot とは?
はて Bot とは?と頭をかしげるシステム管理者の方もいらっしゃると思います。Bot とは、Robot の Bot を指していることは想像できると思いますが、要するにセキュリティ攻撃を目的として作られた攻撃用ソフトウェアです。その名の通り、外部から遠隔で操作でき、自分に成り代わって遠隔操作で様々な行為を行うために開発されるものです。俗に言うバックドアとは、意味合いは同じですが、よりインテリジェントになってきていることがこの特性になっています。たとえば、拡散する、沈黙を守る、他のサーバーに攻撃を行う、感染ホストに対して操作を行うなど、一連のコマンドを実装しているわけです。これにより、そのコンピュータは完全に外部の攻撃者に乗っ取られている状況となります。
さらに危険な状況を引き起こしているのは、この Bot が実行されている状況を外部に見せないようにするために Rootkit が同時にセットアップされることがあるということです。タスクマネージャや、tlist などのコマンドによって、そのプロセスは表示できなくなってしまうため、感染の発見が遅れます。
Bot 自体はほとんどコンピュータのリソースを消費しないため、設置されていることが外的な変化から見つけ出すのも難しくなっているのが現状です。
Bot の拡散
先に記したように拡散を行う機能を持つ Bot は実在します。幾つかは Bot を取り込んだウイルスにより伝播され、感染を広げることが確認されていますが、中には Bot 自身がソフトウェアの脆弱性を攻撃することにより、拡散するものもあります。たとえば、Blaster により悪用された RPC の脆弱性 を悪用し、ソフトウェアを送り込み実行するものです。拡散は常に行なわれるわけではなく、感染ホスト数を限定することにより、発見されにくくすることがほとんどです。
こうして徐々に感染ホスト数が広がってゆくわけですが、実はこれらは全て次に説明を行う、攻撃目的のネットワークを構築する事前準備であるわけです。
Botnet の完成
伝播し終わった Bot は、これにとどまらず、さらに危険な状況を作り上げます。一般的に Bot は、IRC (Internet Relay Chat) を使用して、インターネット上に公開されている IRC サーバーへログオンします。このときその Bot 間のやり取りのためのチャネルを持っています。このチャネルは、まさにコントロールサーバーから送信された Bot への伝播するための会議室と言うわけです。たとえばコントロールサーバーから送信されたメッセージに、あるサイトを攻撃する意味のコマンドが送信された場合、指定された攻撃方法 (Syn-Flood 攻撃が一般的です) で全ての Bot が実行を開始します。つまりこのネットワークは、攻撃ロボットのネットワーク (Botnet) として構築されるわけです。興味深いデータとして、この Botnet に参加する Bot の数は、昼の時間に集中すると言われています。つまり、日本を母体とする Botnet の場合には、日本の昼の時間に参加する Bot が増加することから、家庭もしくは企業で使用されているコンピュータが感染していると判断されます。もちろん Bot を抱えたコンピュータを使用している方は、その存在に気がついていないということをあらわしています。
Botnet へ取り込まれないために
Bot は、ウイルスや、Web サイトの改ざんにより感染を広げるか、自身で攻撃を行ってセキュリティ上脆弱なコンピュータに感染することになります。対策方法としては、いつものことではありますが、より一般的な対応方法が求められます。何しろインターネット上で数億稼動しているコンピュータのうち、数千台程度が感染対象となる目立たない被害ですから、ウイルス対策ソフトウェアのウイルス定義ファイルの作成が遅れることも考えられるためです。
まずは、外部からのネットワークは、侵入を許さないためにしっかりとファイアウォールを構成してください。続いて各ホストにおいても、可能であればファイアウォールを使用して、必要のないポートを閉じるべきでしょう。特に、一時期流行った Windows のファイル共有に感染ファイルを保存するウイルスなどと結合した攻撃が行われる場合にも、必要のないポートをふさぐ事が有効です。そして、可能な限り緊急レベルの脆弱性を、セキュリティ更新プログラムの適用により対策を行ってください。デスクトップ環境で、普段メールクライアントや Web ページを閲覧する可能性がある場合には、可能であれば Windows XP Service Pack 2 に実装されているセキュリティ機能が有効です。また、ウイルス対策ソフトウェアも、水際対策として有効です。今後の感染経路として考えられるものとして、ソフトウェアに含まれて配布されることも考えられます。できる限り信用のおけるソフトウェアを使用していただくと共に、P2P ソフトなどからのソフトウェアの流入なども禁止してください。残念ながら社内に入り込んだとしても、社内から IRC への接続を許可していない場合には、コントロールコマンドが届きませんので大きな被害を防ぐことが可能かもしれません。
最後に
日本においては、まだ注目されていないのが Bot と Botnet です。このような不正なソフトウェアによる被害を拡大しないため、ぜひ感染前の事前対応を行ってください。未知の攻撃への対応は、多層防御 のコンセプト参考にしていただき、様々な側面からの対処を行うことが重要でしょう。
.jpg)
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。