「ボットネット」の正体を探る
新種のボットはパーソナルFWで検出
新種のボットに対しては、パーソナル・ファイアウォール・ソフトを使う。市販のパーソナル・ファイアウォール・ソフトは、パソコン内のプログラムが外部と通信しようとした際に警告メッセージを表示して、ユーザーにその通信を許可するかを問い合わせるようになっている(※11)。この機能をボットの検出に使うわけだ。
※11 問い合わせるようになっているWindows付属のパーソナル・ファイアウォール機能(Windowsファイアウォール)は、外部からパソコンに入ってくる通信の検査はするが、パソコンから外に出て行く通信は検査しない。このため、ボットを検出するのが難しい。
パソコンがボットに感染すると、ボットのプログラムは、インターネット上のIRCサーバーに通信しようとする。IRCの通信には、TCPの6667番ポートが使われることが多い。したがって、IRCを使っている覚えがないのに6667番ポートあての通信を警告するメッセージが出たら、そのパソコン内でボットが動作している可能性が高いことがわかる。
またパーソナル・ファイアウォール・ソフトによっては、セキュリティ・ホールを突くパケットを受信したら、警告メッセージを出す機能を持っているものもある。ボットはセキュリティ・ホールを突いて感染するものがほとんどなので、こうした機能を利用すれば攻撃パケットを受信したことがわかる。
そして、パソコンにパッチを当てておくことも大切な防止策である。セキュリティ・ホールをなくすことは、ボットの侵入口をふさぐことになるからだ。
国も対策に乗り出した
取材をしていると、「国家レベルでもボット対策に乗り出すらしいですよ」という情報を耳にした。そこで総務省にも行ってみた。
すると、「今回のTelecom-ISACの調査によってわかった事実を重く受け止めています。そこで、国内ベンダーをまとめ、ボットネット対策に乗り出します」(総務省の情報セキュリティ対策室の高村信(たかむらしん)課長補佐)という。この対策(※12)が本格的に動き出すのは、2006年夏以降になる見込みである。
※12 この対策ボットの検体収集システムを作って公的機関から駆除ツールを配布したり、プロバイダがユーザーに感染を知らせることができるルールを作る。
自分の管理するパソコンがボットに感染すると、自らが不正行為の手助けをすることになる。すべてのインターネット・ユーザーが、こうした危険性を意識する必要がある。パソコンをインターネットにつなぎっぱなしにしている場合は対策が不可欠だ。
この連載のバックナンバー
- 緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「3つのポイント」+「1」 (2009/04/30)
- 3月リンク集:オフィスセキュリティ (2009/04/01)
- 2月リンク集:身近にある危機 (2009/03/01)
- 1月リンク集:米国と日本 (2009/01/30)
- 12月リンク集:歳末の防犯・防災 (2008/12/25)
