ボット
概要
「ボット」とは?
ボットとは、コンピュータを外部から遠隔操作するためのバックドア型不正プログラムの一種です。ボットの最大の特徴は「ボットネットワーク」を構成することです。ボットネットワークとは、攻撃者がC&Cサーバ(遠隔操作のための指令を送るサーバ)から一括して複数のボット感染環境を遠隔操作できる仕組みです。
攻撃の手法・特徴
- 攻撃者はC&Cサーバを介して、感染環境を外部から遠隔操作できます
- 特にボットネットワークを構成することにより、複数の感染環境を一括して遠隔操作することが可能となります
- ボットの感染をユーザに気づかせないため、感染しても表面的な変化はほとんど表れません
- ボットはC&Cサーバとの通信の中で、自身のアップデートを行います。これによってウイルス対策製品の検出を免れたり、攻撃に必要な機能を追加したりします
影響と被害
- 感染コンピュータ内や感染コンピュータが属するローカルネットワーク内に保持されている、各種アカウント情報、アドレス帳、キーボード入力の内容、文書ファイル、などの情報を窃取する
- ボットネットワークの拡大のために、感染環境からネットワーク内の他の環境へ感染する
- 感染環境から大量のスパムメールを送信する
- 感染環境から特定の攻撃目標に対しDDoS攻撃を実行する
攻撃者は感染環境を遠隔操作することにより、様々な攻撃活動を行います。主に行われるのは以下の活動です:
特にスパムメール送信やDDoS攻撃が行われた場合、感染環境は知らない間に犯罪行為に加担していることになります。つまり、被害者であると同時に加害者にもなってしまいます
図:ボットネットワークの概念図
対策と予防
ユーザ側
- 総合的なセキュリティソフトを導入し、常に最新の状態にする
- ウイルス検出機能によりボット本体を検出する
- 外部不正サイトへのアクセスをブロックすることにより、Web経由でのボットの感染や、C&Cサーバからの遠隔操作を防ぐ
- スパム対策機能により、電子メール経由でのボットの侵入を防ぐ
- 脆弱性攻撃に遭わないよう、OSや使用しているソフトウェアを常に最新の状態にする
管理者側
- エンドポイントへ総合的なセキュリティソフトを導入し、常に最新の状態にする
- エンドポイントのOSやアプリケーションを常に最新の状態にする、あるいは脆弱性への対策を行う
- ネットワーク内部から外部不正サイトへのアクセスをブロックする
- ネットワーク内の不審な通信や挙動を可視化する
図:ボット対策の概念図
トレンドマイクロのソリューション
ユーザ側
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| 総合的なセキュリティ対策製品の導入 |
|
管理者側
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| エンドポイントへ総合的なセキュリティソフトを導入する | ウイルスバスター コーポレートエディション、 Trend Micro Deep Security、ServerProtectなどの対策製品の導入 |
| ネットワーク内部から外部不正サイトへのアクセスをブロックする | ウイルスバスター コーポレートエディション、 InterScan Web Security Virtual Applianceなどの製品の「Webレピュテーション」機能により、外部不正サイトへのアクセスを遮断する |
| メールサーバにおける不審メールの検出 | InterScan Messaging Security Virtual Appliance、InterScan Messaging Security Suite Plus、Trend Micro Hosted Email Securityなどのメッセージングセキュリティ製品による不正プログラム感染に繋がる不審メールの検出 |
| エンドポイントのOSやアプリケーションを常に最新の状態にする、あるいは脆弱性への対策を行う |
Trend Micro Virtual Patch for EndpointやTrend Micro Deep Securityにより、脆弱性を狙った攻撃をブロックする |
| ネットワーク内の不審な通信や挙動を可視化する |
|