インターネット上の新たな脅威「ボット(bot)」に気をつけろ！(下)

勝村幸博

2004.12.17

　昨日公開した「インターネット上の新たな脅威「ボット(bot)」に気をつけろ！(上)」に続き，感染パソコンに被害を与えたり，感染パソコンを悪用することを主目的とした悪質なプログラム「ボット(bot)」の脅威と，それに対する防御策をお伝えする。

“オープン・マリシャス・ソース”

　「ここ数カ月，目にするのはボットばかり。これらはソース・コードが公開されている“オープン・マリシャス・ソース（Open Malicious Source）”なので，変種が続々作られている」――。シマンテックのシマンテックセキュリティレスポンス林薫シニア・ソフトウェアエンジニアは，“ウイルス会議”「AVAR 2004」の席上，ボットの“猛威”を解説した（関連記事）。

　どのベンダーでも状況は変わらないようだ。「週2回定期的に更新している“通常”のパターンファイル（注1）には，新しく確認された“ボット系”が毎回必ず複数含まれている」（トレンドマイクロの岡本氏）。以前，アンチウイルス・ベンダーでウイルス解析に携わっていたセキュアブレインの星澤氏も「1時間に1件はボットの新しい変種が報告されていた」と当時を振り返る。

注1：トレンドマイクロでは，急速に感染を広げるウイルスが出現した場合には，随時“緊急”のパターンファイルを公開している。

　シマンテックの林氏が講演で述べたように，変種が続出する理由は，ソース・コードが公開されているためだ。加えて，知識がないユーザーでも容易に改変できるツール類も公開されているという。さらに，“機能”は同じでも，バイト・コードを変更して対策ソフトに検出されにくくする圧縮ツールも公開されている。ボット系に限らず，圧縮ツールで変種を作るのは，昔からの常とう手段である（関連記事）。

　一体，どのぐらい変種が存在するのか。一般的に，ウイルスの変種はウイルス名の末尾に付けたアルファベットで区別する。例えば，オリジナルの「Netsky」ウイルスはNetsky.Aとなり，その後，Netsky.B，Netsky.C，・・・，Netsky.Zとなる（関連記事）。つまり，何番目に出現した変種であるかは，ウイルス名の末尾のアルファベットを見れば分かる。「Z」まで行くと，次は「AA」。アルファベット2文字で表す。

　筆者は以前，「Netskyは変種が多い。その証拠に，末尾のアルファベットは2文字になっている」と書いた。「確かにNetskyはたくさんの変種が確認されている。だが，ボットは桁が違う」（トレンドマイクロの岡本氏）。ボットの場合，末尾のアルファベットは3文字になっているのだ。例えば，シマンテックではボットの一種「Spybot」の変種として，9月時点で「Spybot.DNC」を確認しているという。「DNC」は3071番目の変種にあたる。12月9日時点では，「Spybot.FCD」の情報が同社サイトにある。

世界でただ一つの変種かも？

　新しい変種が次々と作られると何が問題か。ユーザーにとっては，ウイルス対策ソフトを使っていても検出できない場合があることが一番の問題だ。次々出現するので，ウイルス定義ファイルが対応するまでにタイムラグが発生する。この間は，最新のウイルス定義ファイルを使っていても，当然検出できない。

　さらに，自分が使っている対策ソフトのベンダーが，現在自分が感染している変種のサンプル（検体）を持っていない可能性もある。「あまりにもたくさんの変種が出現しているので，例えば，『トレンドマイクロだけが検体を持っている変種』というものが存在する。他社も同様だろう」（岡本氏）。アンチウイルス・ベンダー間では，検体を共有するシステムがあるそうだが，ボット系については，数が多すぎて共有できないようだ。この場合は，いつまで待っても検出できない。自分で気付かない限り，ずっとボット・ネットの一員にさせられたままだ。

　ベンダーが検体を入手すれば，それに対応したウイルス定義ファイルが作られる。その定義ファイルに更新すれば，そのボットについては検出できるし，対策ソフトによっては駆除できる。ボットに変更された設定（レジストリなど）も元に戻してくれる。だが，無償でベンダー各社が提供する駆除ツールについては事情が異なる。今回取材したベンダーは，各社とも「被害件数が少ないウイルスについては，専用の駆除ツールを提供することは難しい」との答えだった。

　ボット系は変種が多いため，すべての変種を集計すれば，報告件数はそこそこ多い。例えば，11月中にトレンドマイクロに寄せられたAgobotの件数は，全体の9番目だった（同社サイトの関連情報）。だが，同じAgobotの変種であっても，同じ定義ファイルでは新しい変種は検出できない場合がほとんど。というのも，作者は，ウイルス（悪質なプログラム）を撒く前に，最新の定義ファイルで検出できないことを確認する場合が多いからだ（関連記事）。

　変種といっても，受ける側からすれば，新種と同じ。それが次々と作られる。守る側としてはとても厄介だ。対策ソフトをインストールしていても，まだベンダーには報告されていないボットは検出できない。そんなボットが既にパソコン上で動いているかもしれないのだ。

特定企業／ユーザーを狙い撃ち

　ソース・コードやツールが公開されているために，次々変種が作られる。加えて，「攻撃者がターゲットに合わせてカスタマイズできる」という問題もある。つまり，ある特定の企業／組織に向けた，ある特定の挙動をするボットを容易に作成できるのである。