PR

 インターネットでは今、「ボット」が大きな問題になっています。ボットとは、ユーザーのパソコンを乗っ取って、ウイルス作者(攻撃者)が自由に操れるようにする悪質なプログラム(ウイルス)のことです。この「PCオンライン」でもボット関連の記事をたびたび掲載しているので、ご存じの方は多いでしょう。

 JPCERTコーディネーションセンターや日本データ通信協会テレコム・アイザック推進会議などが2005年に実施した調査によると、国内のパソコンの40台から50台に1台が、ボットに感染している疑いがあるといいます。しかも現在では、この割合は増加していると考えられます。ボットが進化の一途をたどっているからです。

 先日、セキュリティベンダーであるラックの研究開発本部 先端技術開発部 部長を務める新井悠氏に、ボットの現状を聞きました。新井氏は国内有数のセキュリティの専門家。最近では、「一日一善」ならぬ、「一日一アンパック」をモットーにしているそうです。ここでの「アンパック」とは、ボットを解析する、あるいは解析しやすい状態にすることを指します。業務のかたわら、「一日一アンパック」を実施しているそうですが、新しいボットが次々出現しているために、とても追いつかないそうです。

HTTPで通信する

 新井氏によれば、最近の傾向の一つが「HTTPボット」の増加だそうです。HTTPボットとは、攻撃者との通信にHTTPを使うボットです。HTTPを使って、攻撃命令を受信したり、パソコンから盗んだ情報を送信したりします。

 従来のボットは、IRC(インターネット・リレー・チャット)を使うことが一般的です。「多数のボット感染パソコンに、攻撃命令を一度に送信する」といった「一対多」の通信にIRCは向いているからです。半面、IRCによる通信を許可していないユーザーや企業/組織は少なくありません。許可されていない場合には、攻撃者からの命令はボットに届きません。

 こういった(攻撃者にとっての)問題を解消するのが、HTTPボットです。HTTPはWebなどで利用される通信方法なので、個人ユーザーはもちろん、企業や組織の多くでも許可されています。ファイアーウオールなどで攻撃命令を遮断される心配はありません。

 HTTPボットは増加傾向にあり、従来型のIRCボットは8割、残りはHTTPボットになっているといいます。IRCボットが依然多数派ですが、そのうち逆転するかもしれません。

解析を回避する

 解析されないような仕組みを備えていることも、最近のボットの特徴だそうです。新井氏のような専門家は、ボットを捕獲して解析し、対策に役立ています。例えば、感染後のボットが行う通信内容が分かれば、攻撃命令を出しているサーバー(C&Cサーバー、コマンド・アンド・コントロール・サーバー)を突き止めて閉鎖させたり、ファイアーウオールやIDS(侵入検知システム)などで命令を遮断したりすることができます。

 攻撃者にとっては当然おもしろくないので、解析することを困難にします。通常、解析は実験環境で実施されます。インターネットに接続した環境で解析すると、解析中にボットが感染を広げたり、迷惑メールを送信したりしてしまうからです。

 そこで最近のボットの多くには、自分が動いている環境が実験環境かどうかを調べる機能が備わっているといいます。例えば、自分が仮想マシン上で動いているかどうか、動いているマシンにデバッカーがインストールされているかどうかをチェックします。実験環境だと分かれば、活動を停止したり、自分自身を消去したりします。

 インターネットに接続されているかどうかをチェックするボットもあるといいます。具体的には、特定のWebサイトにアクセスできるかどうかを調べます。素人考えでは、実験環境のネットワークに、ダミーのサイトを用意してボットをだますという方法がありそうですが、ボットの作者はお見通し。「チャレンジレスポンス」という認証方法を使って、そのサイトが本物かどうかを確認するそうです。本物のサイトに接続できなければ、自分は実験環境にいると判断して消えてしまいます。

 以上のような話を聞くと、不謹慎ながら感心する一方で、不安になります。このままでは、ボットにインターネットを侵食されてしまうのではないかと。しかし、解析側も進歩しているそうです。ボットの工夫を回避して、解析する手法はあるそうです。

 もちろん、その手法を回避するようなボットが出現することは容易に予想できます。いたちごっこは終わらないでしょう。しかしながら、インターネットユーザーのひとりとしては、解析側が最終的に勝利することを祈るばかりです。