更新:10月14日 13:10セキュリティー:最新ニュース
レスキュー出動回数が急増、企業に入り込む「ボット」
昔からそのままにしていた虫歯が痛み出し、歯医者に通った。医者には「もう少し早く来れば良いのに」と言われ、麻酔の浮揚感に漂いながら、なるほど虫歯と組織に入った「ボット(BOT)」は自然治癒しないものなのだと考えた。今回は、この組織内に入ったボットについて取り上げる。 今年も早いもので4分の3が経過した。私の会社のセキュリティー緊急対応チームはなぜかオリンピック期間中を除きフル稼働が続いており、9月30日までに53件のコールを受け38件の出動を行った。原因や手口の内訳は、ウェブに公開されているサーバーの脆弱性を突く「SQLインジェクション」が全体の41%を占めた。続いてボットが16%、他のコンピューターウイルスが13%(大半が「ウィニー」関係の暴露ウイルス)、内部犯罪が13%、「DDoS」(サイトの運営妨害)が8%と続いている。 38件中の16%、つまり6件が組織外から内部に侵入したボットによる事件であり、これは過去最高ではないかと思う。ちなみにボットの概要については以前のコラム「サイバー犯罪トレンド『3S』を地で行く『ボットネット』」でも取り上げているので参考にしてほしい。 この9カ月間で6回出動した組織内部へのボット侵入事件だが、分析してみると以下のようなことが推測される。 ■ボットの脅威は「踏み台型」と「標的型」の二つ 家庭のパソコンに侵入するボットは、一般的にボットネットに組み込まれ、攻撃者の指示により、迷惑メールのばら撒きや、DDoS攻撃、アカウント情報(種々のサイトのログインIDやパスワード)収集に使用されることが多い。 それが、企業組織内で発生したケースが「踏み台型」に分類されるものだ。感染パソコンから外部に対して、DDoS攻撃や大量の迷惑メール送信をしたりするため、内部ネットワークの遅延や障害といった形で顕在化することが多い。また、アカウント情報を収集されるといっても、その時点では直接何かに使われるわけでもなく、企業としても「人騒がせないたずらウイルス」程度の認識で終わる場合が多い。 一方で、最近何件か見られるようになった「標的型」と分類されるボットは厄介だ。ボットの一番の特性は、外部からパソコンを乗っ取り操作することにある。ボットに感染した(乗っ取られた)パソコンは随時、外部の攻撃者とコンタクトを行っている。コンタクト方法は、パソコンの利用者がウェブを閲覧しているかのように装って行われることが多いためシステム管理者から感知されにくく、容易に攻撃者と接触できるのだ。 そして外部にいる攻撃者は、乗っ取ったパソコンにパスワード収集など情報取得のためのソフトウエアを次々と送り込む。また、周辺のネットワーク状況なども調査する。さらに別のパソコンにボットを送り込み(恐らく、最初のパソコンが制御不能になったときの代替にする目的ではないかと推測される)、共有サーバーや基幹システムの情報を収集し、そこに対しアクセス可能なパソコンやアカウント情報を集めていく。 こういった行為は全く気が付かれずに進行していく。気が付くのは、攻撃者が何らかの「ヘマ」をしでかした場合が大半だ。例えば、なにかのソフトのインストールに失敗し、ボット化したパソコンを再起動してしまう場合などだ。 さらに、「標的型」には「結果標的型」というものがあると私は考えている。当初は「踏み台型」だったものが「標的型」に昇進するタイプだ。攻撃者に指示を求めてきたボットの発信元が、攻撃者にとって魅力ある組織だと分かった場合、どういう行動を取るだろうか? 直接、使用することもありうるかもしれないし、それを欲しがっている第三者にレンタルするかもしれない。いずれにせよ、有用な情報を持つ組織に入ったボットに価値を見出すのは金銭目的の犯人にしてみれば至極当然のことだ。 次ページ・・・見逃しやすい感染ルート ● 関連リンク● 記事一覧
|
|
|||||
日本経済新聞社について:新聞記事利用 | 個人情報の取り扱い | 本社採用案内 | 日経グループ情報 | 会社情報・お知らせ | 新聞広告お申し込みガイド | NIKKEI4946.com(紙面紹介と購読案内)
(C) 2008 Nikkei Inc. / Nikkei Digital Media, Inc. All rights reserved.