PR

小林:ボット? ボットって何だ?

山下:ひとことで言えば、パソコンを意のままに操るソフトということでしょうか。

小林:ん? ということは、顧客情報が漏れる可能性もあるっていうこと?

山下:理論的に言えばそうですね。

小林:山下君。これはおおごとだよ。顧客情報の流出を防がないといけない!

山下:うーん。顧客情報の流出の可能性をなくすためには、このショッピング・サイトを停止する必要があります。そんなことをしてしまって大丈夫でしょうか?

小林:他に手はないのかね。

山下:被害拡大を抑えるには、まずは該当するサーバーをネットワークから切り離し、その上で原因の究明や復旧作業を行うほかないでしょう。

小林:分かった。オレが責任を取るから、該当サーバーの停止と、バックアップ・システムへの切り替えを進めてくれ。

山下:了解しました。

 CIO に求められる重要な役割の 1つは、今回のようなインシデントの発生したシステムやサービスを、被害拡大の抑止や原因究明および復旧作業のために停止するか否かの判断を下すことである。

 理屈上、インシデントの被害拡大を防ぐには該当システムをネットワークから切り離すのが最善の方法であることは間違いがない。しかし、例えば今回のケースのようにオンライン・ショッピング・サイトが対象となっている場合、そのサービスを停止することは事業全体に影響を及ぼす重大な事態である。

 今回の場合は、バックアップ・システムへの切り替えが可能であることや顧客情報の漏洩という危機的な状況であることから、小林は「該当サーバーの停止」という判断を比較的容易にくだすことができた。しかしバックアップ・システムがない場合はどうだろうか? サービス停止による損失額はもちろん顧客情報の漏洩の危険性の度合いなどを判断材料として、代替手段についても検討すべきである。

 CIO は常にサービスを停止することによるメリットとデメリットを慎重に判断して対応方針を決定しなくてはいけない。また判断が確定したところで、ことの経緯、対応内容を経営陣へ報告することを忘れてはならない。

小林:しかし、わが社のサイトはなぜボットに感染してしまったんだ? ファイアウォールやウイルス対策に穴があったということなのかね。

山下:確かにおっしゃる通りですね。調べてみます…。

 山下課長は、サイトを運営していた××社に問い合わせた。回答を待つ間,山下課長がボットについて調査すると、驚くべきことが判明した。

山下:部長。どうやらボットは、ファイアウォールやウイルス対策では完全に防げないらしいです!

小林:え!? どういうことかね!

技術解説

 ボットネットが感染を広めている理由はいくつかある。まず大量に亜種が発生するため、一般的なウイルス検知ソフトで検出できないことが多いためである。

 2004年度に有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)とTelecom-ISAC Japanが共同で行なった調査の結果によると、ボットは毎日80種類以上の亜種が発生し、またインターネット・サービス・プロバイダ(ISP)ユーザの2%から2.5%がボットに感染しているとのことである。その結果、ハニーポット(おとりシステム)で収集した検体の90%はウイルス検知ソフトで検知できたが、種類だけでみるとわずか23%しか検出できなかったのである(図5)。

図5●ウィルス対策ソフトで検出できないボットが多い
図5●ウィルス対策ソフトで検出できないボットが多い
出典:「ボットネットの概要」(JPCERT)
http://www.jpcert.or.jp/research/2006/Botnet_summary_0720.pdf

 このように亜種が大量に発生している理由は、ボットのソース・コードと開発環境が公開されており、専門的な知識や議術がなくても、新しいボットを作るこ とが容易だからである。

[参考]
・Teleco-ISAC Japan第1回JPCERT/CC共催セミナー(2005年7月27日)
 https://www.telecom-isac.jp/seminar/index.html

 「亜種」とは、動植物の亜種と同じで、完全に別のものと分類するほど違うわけではないが、実際の細かい性質、ボットの場合は挙動が異なるものを指す。

[参考]
・Internet Week 2005「IP Meeting 2005」インターネットセキュリティトピックス
 http://www.jpcert.or.jp/present/2005/InternetSecurityTrend20051209IWIP.pdf
・ボットネットの概要
 http://www.jpcert.or.jp/research/2006/Botnet_summary_0720.pdf

山下:××社の報告によると、ボットはWebサーバーのセキュリティ上の欠陥(セキュリティ・ホール)を突いて侵入してきたということです。

小林:なぜその欠陥を塞いでおかなかったんだね?

山下:Webサーバー・ソフトの開発元からセキュリティ・ホール修正用のパッチ・ソフトが公開されていなかったため、塞げなかったとのことです。セキュリティ・ホール発見から対応までの時間差を突かれました。

技術解説

 ボットの感染経路は、大きく2種類ある。一つは、メールの受信やWebアクセスによってボットが潜むファイルを取り込んでしまうこと。もう一つは、セキュリティ・ホールを突いて直接侵入してくること。

 前者は、ウイルス対策ソフトが未対応であってもユーザーが能動的なアクション(不審なメールやWebページの閲覧,添付ファイルやダウンロードしたファイルの実行など)を起こさない限り感染しない。この経路による感染は,ユーザーがログオンして使用するパソコンで多く見られ,サーバーでは一般的ではない。

 一方,後者の対策はパッチなどのセキュリティ修正ソフトによってセキュリティ・ホールを塞ぐこと。セキュリティ修正ソフトが提供されたら、なるべく早く適用することが大切だ。ただし、セキュリティ修正ソフトが提供される前に攻撃されてしまうこともある。このような攻撃を「ゼロデイ・アタック」という。可能性は大きくないが、ゼロデイ・アタックによる感染を防ぐことは難しい。


技術解説

 更にボットは、感染後に特定のサイトからファイルをダウンロードして、自分自身をバージョン・アップする機能を持っているため、ウイルス検知ソフトが用いているパターン・マッチング(ウイルスのファイル内容が一致するか否かのチェック)では感染したウイルスを検出できない場合が多い。その上、ボットは感染したパソコンそのものに対して、コンピュータ・ウイルスのような目に見えた被害(パソコンを使用不能にするなど)を与えないため、ユーザーが感染に気付きにくいということも、感染を広めている理由である。


押田 政人(おしだ まさひと)
セキュリティを専門とする IT ライター。翻訳にも携わる。最近手がけることが多いテーマは、セキュリティ対策に必要な企業内組織体制。長年セキュリティ組織のメンバーとして活躍してきた。そこで培った豊富な知見と人脈が強み。

<< その2 その4 >>