単機能化するボット

以前から引き続き問題となっているボットだが、これに関しても新しいトレンドが出てきている。Hogan氏は「ボットが進化している」と言うが、これは高機能化ではなく単機能化する方向に進んでいるそうだ。今までよく使われていたボットは、ダウンローダーからDDoS、マスメール送信など、いろいろな攻撃が可能な万能ツールだった。しかし、こうした万能のボットは「まだ存在しているが、日常的な脅威としては低くなっている」(Hogan氏)。特に犯罪組織はこうしたボットは使っていないといい、単機能の小さなボットを使うのだという。

たとえば、スパムProxyだけ、ファイル転送だけ、スクリーンショットの撮影・送信だけ、ダウンロードだけ、といったような単機能のボットが使われており、Hogan氏はダウンローダーとなるボットが複数のツールをダウンロードして攻撃を行うといった例を挙げる。

また、従来のボットでは、攻撃者がC&C(Command & Control)サーバーからIRCを使ってボットに指令を出すのが一般的だったが、最近はP2Pを使うものが増え、1つのC&Cサーバーを追跡して停止させても、別のルートで指令を出せるようになっているそうだ。

Hogan氏によれば、万能のボットは2004~2005年に作られたものが多く、新しいものが登場していない。こうしたボットは、セキュリティベンダーのツールで検知されやすく、IDSやファイアウォールでブロックすることもできることから、Hogan氏は犯罪組織がこうしたボットを使わなくなったのではないかと推理する。

その代わりに出てきた単機能ボットは、しかも1つの詐欺行為に対して1つのボットを使い、ほかの攻撃には別のボットを使う、といったように一度使ったボットは二度と使わないという「使い捨てのマルウェアの時代に入っている」(Hogan氏)。実際シマンテックでも、ある詐欺行為で初めて発見したボットがあり、それはその後「二度と見なかった」(同)という。

バランスの取れたセキュリティ対策を

Hogan氏は、こうした問題への対策について「今までの常識のように簡単に言えなくなっている」という。基本的には、OSやブラウザ、アプリのセキュリティパッチの適用に加え、ウイルス対策ソフトではなく、もっと広範なセキュリティ機能を提供するセキュリティスイートの導入を推奨。シマンテック製品に限らず、こうしたツールではヒューリスティックやビヘイビアベースの検知機能によってより精度の高い検出を可能にしている。

また、ポルノサイトさえ見なければ大丈夫などといった認識を改め、安全なサイトと思われていても危険な場合があるという理解も重要だ。スパムに対してはスパムフィルタを使って不審なサイトへのアクセスをしないようにする。Active XやJavaScriptを使わなければ安全度は増すが、Web2.0サービスの利用が困難になるため、ツールを使うことでセキュリティを向上させる。

「100%安全にはできないが、セキュリティツールの進歩によってセキュリティと使い勝手のバランスは取れる」(Hogan氏)