 |
BOTとは何か?[後編]
なぜBOTは増殖するのか
岡本 勝之トレンドマイクロ株式会社
トレンドラボ・ジャパン アンチウイルスセンター
ウイルスエキスパート
2005/9/23
前編では、BOTやBOTネットワークとは、どのようなものであるのかという話をしました。BOTは日々増え続けています。なぜ簡単に増殖するのでしょうか。BOTが増え続ける背景や、BOT作成者が使う手口について解説します。
また、BOTに感染すると情報漏えいのきっかけになるなど深刻な被害をもたらします。しかし、もっと気を付けなければならないのは、知らないうちにほかのサーバに対するDoS攻撃の攻撃元となったり、スパムメールの踏み台として送信元となったりと、加害者になってしまうということです。本編の最後にいくつかのBOT対策をまとめましたので、参考にしてください。
 |
オープンソースのウイルス |
BOTが従来のウイルスと大きく異なる点として亜種・変種が非常に多いことが挙げられます。大量生産されるという点もロボットと通じるところがありますね。
BOTは「オープンソースのウイルス」とも呼ばれ、そのプログラムソースはインターネット上などで頻繁に公開されています。また、プログラミングのスキルがなくとも簡単に自身でカスタマイズしたBOT作成が行えるツールなども存在しており、亜種・変種の作成は容易です。
2002年に登場したBOTですが、その後徐々に亜種・変種が増加していき、2003年ごろに爆発的な増加を経て2005年のいまに至ります。このBOTの亜種・変種の数に関してはさまざまな見解がありますが、具体的な典拠として私どもトレンドマイクロ社のウイルスパターンファイル内の情報に当たってみましょう。
ウイルスパターンファイルとはウイルスを検出するための「ウイルス検出パターン」を集めたデータベースであり、その時点で検出可能なウイルスがすべて収録されているものです。ウイルス対策の現場が分かる資料ともいえます。
これにBOT系として分類される不正プログラムが初めて収録されたのは2002年6月でした。一種のバックドア型ハッキングツールが「BKDR_SDBOT.05.B」として収録されました。
以来、2003年6月の時点でBOT関連の検出パターンは208個に。その約1年後の2004年6月には2146個に。そのまた約半年後の2005年年頭には5408個。この原稿執筆時点の2005年8月末では9974個と異常なペースで増えています。
 |
| 図1 BOT検出名の推移 |
この亜種・変種数がどれだけ多いかを一般的なウイルスと比べてみましょう。2001年に登場した「KLEZ」ワームは、BOTが登場した2002年には2万件弱の感染報告を集め、現在でも感染報告の続くマスメーリング型ワームです。このKLEZ関連の検出パターンは現時点で21個しかありません。
2000年に登場し大流行したラブレターウイルスはVisual Basicスクリプトのウイルスだったので、ソースが容易に入手でき改造が非常に容易なウイルスでした。しかし登場から5年間を経ても関連の検出パターンは111個です。
また、マスメーリング型ワームとしては亜種が多いとされる2004年登場の「NETSKY」ワーム関連にしても100個程度の検出パターンです。BOTと比較した場合にはまさにけた違いです。
これはBOTの作成方法が公開されているからだけではありません。従来の愉快犯的ウイルス作者の場合は、そのウイルスに興味がなくなれば改良し続ける理由もなくなります。しかし、BOTのウイルス作者には金銭的報酬というBOTを作成し続けるための理由が確固としてあります。
公開されたソースや作成ツールを基に世界中で無数のウイルス作者がBOTを作成しているものと見られます。この亜種・変種を容易に作れるということは道具としてカスタマイズがしやすいという長所にもつながっています。ウイルス作者はBOTを自身の目的に沿った機能を持つように変更が可能なのです。
また外部との通信の安定によりセルフメンテナンス機能も有効なものとなってきました。ハーダー(BOTへの指令者)はアップデートモジュールや別の不正プログラムを送り込むことにより、すでに確立したBOTネットワークの全体の機能をアップデートすることができるのです。この柔軟性もBOTが道具として優れている点です。
1/3 |
|
| Index | |
| なぜBOTは増殖するのか | |
 |
Page1 オープンソースのウイルス |
| Page2 ウイルス対策ソフトへの対策 BOTのワーム活動 |
|
| Page3 BOTへの対策 |
|
| BOTとは何か | |
| 前編 変幻自在なBOTの正体を暴く | |
| 後編 なぜBOTは増殖するのか | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
