米McAfeeの研究機関「Avert Labs」は現地時間10月23日,被害が拡大する一方の「ボット」に対抗するには,ISPやセキュリティ・ベンダー,法執行機関などがより一層協力する必要があると訴えた。Avert LabsのスタッフAllysa Myers氏が,公式ブログでコメントした。

 パソコンに“感染”して,そのパソコンを自由に操れるようにする悪質なプログラム「ボット」が世界中で大きな問題になっている。国内のパソコンの40台に1台が感染しているとする調査結果もある。

 ボットが大きな問題になっている原因の一つは,亜種(変種)が次々と出現すること。パターンマッチングにもとづくウイルス対策ソフト(セキュリティ・ソフト)では新しい亜種を検出できないため,対策ソフトを適切に使っていても感染する可能性がある。このためMyers氏は,パターンマッチングだけに頼っていては,ボットに“敗北”してしまうと警告する。

 しかし一方では希望もあるという。近年では,ウイルス対策ベンダーの多くがパターンマッチ以外の技術も導入して,未知のボットも検出・駆除できるようにしようとしている。不正なトラフィックを検出あるいは遮断するファイアウオールやIDS(侵入検知システム)/IPS(侵入防御システム)の導入も進んでいる。また,多くの企業では,ボットのコントロールに使われることが多いIRCのトラフィックをインターネットとLANの境界でブロックしている。このため,LAN内のパソコンにボットが感染しても,乗っ取られることは防げる。

 ただ,これらだけでは不十分であり,ボットの問題を解決するにはさらなる取り組みが必要であるとする。具体的には以下を提唱している。

  1. ボットをコントロールするC&C(Command&Control)を閉鎖するためにセキュリティ・ベンダーとISPが一層協力する
  2. ボットを操る攻撃者に法的措置をとるために,セキュリティ・ベンダーとISPおよび法執行機関が一層協力する
  3. ウイルス対策以上のセキュリティ機能(例えば,フィルタリング)をISPが提供する
  4. 初心者ユーザーにも分かりやすいセキュリティ情報を提供する
  5. (ボットを使ってアドウエアを撒く攻撃者に対抗するために)アフィリエイト・プログラムを用意しているアドウエア・ベンダーに一層の責任を求める
  6. 従来のように「悪質であることが分かっているトラフィックを遮断する」という考え方から,「問題がないことが分かっているトラフィックだけを通過させる」という考え方にシフトする

McAfee Avert Labs Blog