 |
「ここ数カ月,目にするのは『bot』と呼ばれるワーム(ウイルス)ばかり。11月25日現在,“代表的”なbotであるSpybotには5084種類,Randexには1970種類,Gaobotには1880種類の変種が存在する。これらはソース・コードが公開されている“オープン・マリシャス・ソース(Open Malicious Source)”なので,変種が続々作られている」——。シマンテックのシマンテックセキュリティレスポンス 林薫シニア・ソフトウェアエンジニアは11月25日,「AVAR Conference 2004」の席上,botの危険性を警告した(写真)。
AVAR Conferenceとは,非営利団体「AVAR(Association of Anti-Virus Asia Researchers)」が主催する,ウイルスに関する国際会議(関連記事)。アジア太平洋地域で開催される“ウイルス会議”としては最大規模。
botとは,ソフトウエアのセキュリティ・ホールやパスワードの不備を突いてマシンに侵入し,被害をもたらすプログラム(ワーム)のこと。botの多くには,マシン内の設定ファイルやパスワード・ファイル,ユーザーのキー入力などを記録して外部に送信する“機能”を備える。攻撃者からの命令により,特定サイトへ一斉にパケットを送信するDDoS(分散サービス妨害)攻撃“機能”や,スパム(迷惑メール)送信“機能”などを備える場合も多い。「Netsky」や「Mydoom」といったウイルスとは異なり,自分自身を添付したメールを送信する“マス・メーリング機能”はない。自分自身でネットワークを“はっていく”だけだ。
林氏によると,「botの“キーワード”はオープン・マリシャス・ソースであること」という(“マリシャス(Malicious)”とは,“悪質な”という意味)。つまり,ソース・コードがオープンソースとして公開されていて,インターネットから容易に入手できる。「Gabotのある変種のソース・コードのパッケージには,GPLであることをうたっているファイルが含まれていた」(林氏)
ソース・コードには「コメント文が随所に書かれているので,どの部分で何をしているのか一目でわかる。このため,作者が望むとおりに機能を改変できる」(林氏)。改変するためのツールなども公開されているという。
このため,さまざまなウイルス作者によって,“機能強化”が図られている。例えば,2003年4月に確認されたSpybotのオリジナル「Spybot.A(末尾のアルファベットで,何番目の変種であるのかを示している。“A”は1番目。“Z”までいくとアルファベットの文字数を増やす)」には,被害を及ぼす機能(攻撃者からの命令)が22種類だった。ところが,2004年9月に確認された3071番目の変種「Spybot.DNC」には,90を超える機能(命令)が備わっているという。
「GaobotおよびRandexのオリジナルの作者は,いずれも2004年5月に捕まっている。それにもかかわらず,6月以降もこれらの変種は毎月100種類以上確認されている。既に,オリジナルの作者とは無関係に,変種が作られつづけているのだ」(林氏)。“ターゲット”を絞って変種が作られる場合もあるので,「あなたが見つけた変種は,世界で一つしか存在しない変種である可能性がある」(同氏)
botは感染を広げることを目的とはしていないので,爆発的に広がることはない。このため「メディアで取り上げられることもなく,一般ユーザーの関心を引かない。だが,脅威であることは間違いない。きちんと対策を施す必要がある」(林氏)。とはいえ,特に“bot対策”というものはない。従来のセキュリティ対策をきちんと施すことが重要だと林氏は説明する。具体的には,「ウイルス対策ソフトを使う」「ファイアウオール/IDSを使う」「パッチを適用する」「パスワード管理をきちんとする」——など。「技術面だけではなく,教育や啓蒙といった人的対策も重要だ」(同氏)
(勝村 幸博=IT Pro)
