本章ではモダンマルウェアと呼ばれる新しい脅威ボット、ボットネット、ボットハーダーについて、これらがどのように動き、なぜ悪質なのかについて解説する。
モダンマルウェアの登場により、企業は自分の身を守る方法を見直さなければならなくなった。それはモダンマルウェアが、伝統的なマルウェア対策を無効にし、企業内に足がかりを作って、そこから犯罪者や犯罪国家が企業から情報を盗み出したり、重要なシステムに攻撃を加えるようになってきたためだ。
モダンマルウェアの重要な特徴
企業の情報セキュリティチームは、20年以上にわたってさまざまな種類のマルウェアと闘ってきた。この経験から多くの技術や知識が得られたが、企業はこの闘いに勝利したわけではないということもわかった。2009年のCyveillanceの研究(www.cyveillance.com)によれば、活動中のマルウェアの約半数は、標準的なアンチマルウェアソリューションで検出できず、2010年のNSS Labsの研究(www.nsslabs.com)では、マルウェアのダウンロードの検出率は平均で53パーセントだったことがわかっている。
このように捕捉率が低いのにはいくつかの要素が関連している。ある種のマルウェアは、「変身」する能力を持っていたり、アップデートしたりすることで、従来の、シグネチャによるマルウェアの検出ができなくなっている。さらに、モダンマルウェアは攻撃の対象ごとに作成されるようになり、攻撃者は目標の個人やネットワークごとにカスタマイズされたマルウェアを開発するようになったためである。
「ボットネット」は、モダンマルウェアの特徴を知るのに、とくに有用な例だろう。ボット(bot、感染した個々のマシン。ロボットの略語)とボットネット(botnet、連動する多数のボットのネットワーク)は、従来のアンチウイルス/アンチマルウェアソリューションでは検出できないことで悪名が高い。
ボットはネットワークの力を借りて活動する。人間の攻撃者(bot-herder、ボットハーダー)に遠隔操作されるボットはアップデート可能であるため、攻撃者は、システムの変更やボットへの対抗手段の有無や内容に応じて攻撃の方法を変え、ネットワークをより深く探索したりできる。
このように、モダンマルウェアは初期のマルウェアから格段に進化している。初期のマルウェアは単純に感染し、自己複製するだけのものだった。それに対してボットネットそしてモダンマルウェアのほとんどは、中央の指令に従う協調型ネットワークアプリケーションである。
現在、同種のマルウェアはどれも、共通の目的に向かって協調できるように設計されている。そして感染したマシンの数が増えるほど、またマシンの性能が高いほどボットネット全体の価値が高まる。ボットネットは、新しい目標に向けて進化したり、セキュリティ対策の変化に対応できるようになっている。
ボットネットのもっとも重要でユニークな機能上の特性(図2)について以下順に解説する。
・分散化と耐障害性
モダンマルウェアは、インターネットの自己回復能力をフルに活用している。ボットネットは、複数の制御サーバを世界中に分散化させることができ、複数の代替システムのオプションを持つことができる。ボットは、他のシステムに感染しているボットを通信チャネルとして活用し、ほとんど無限の通信路によってアクセス方式を変更したり、自身のコードを必要に応じてアップデートできる。
・多機能性
命令/制御サーバからのアップデートにより、ボットの機能を完全に変えることができる。この多機能性は、ボットネットの一部を目的に応じて使い分けるという、新しい利用方法をもたらしている。たとえば、クレジットカード番号の入手にボットネットの一部を使い、また別の一部でスパムを送信する、といった具合である。
・潜伏性と知能性
ボットは検出が難しく、簡単に機能が変更できるので、目標のネットワークに長期間潜伏するのに適している。ボットは人間であるボットハーダーによって遠隔操作されるため、不審な動作をする実行ファイルというより、ハッカー本人がネットワークに直接入り込んでいると考えたほうがよい。単純な攻撃を繰り返すのではなく、たとえば潜入したネットワークの構成についてより深く調査するのに使われたり、ボットが発見されたときに備えて追加のバックドアをインストールすることもあるというわけだ。
この連載の記事
-
第6回
TECH
最新セキュリティ技術WildFireとは? -
第5回
TECH
モダンマルウェア対策の基本方針とは? -
第4回
TECH
次世代ファイアウォールはどのようにマルウェアを撃破する? -
第3回
TECH
なぜ従来型のセキュリティ手法ではだめなのか? -
第1回
TECH
セキュリティにおける最新の脅威とは? -
TECH
モダンマルウェアの脅威と対策 - この連載の一覧へ