HOME情報セキュリティ情報セキュリティ対策ウイルス対策ボット対策について

本文を印刷する

情報セキュリティ

ボット対策について

独立行政法人情報処理推進機構
セキュリティセンター
最終更新日 2012年9月27日

1.ボットとは

ボットイメージ

 ボットとは、コンピュータウイルスの一種で、コンピュータに感染し、そのコンピュータを、ネットワーク (インターネット)を通じて外部から操ることを目的として作成されたプログラムです。
 感染すると、外部からの指示を待ち、与えられた指示に従って内蔵された処理(後述)を実行します。この動作が、ロボットに似ているところから、ボットと呼ばれています。

2.ボットに感染しているか確認し駆除する方法(Windows利用者の場合)

 最近のボットは、感染したコンピュータの利用者に気付かれないように、さまざまな手法を用います。
例えば、ウイルス対策ソフト(ワクチンソフト)をお使いの場合は、それらのソフトが最新のウイルス定義ファイルを取り込むことを妨害したり、ソフト自体を止めてしまったりします。また、動作中のプロセスを参照しても、システム本来のプロセスと区別が付きにくい名称を使うこともあるようですし、場合によってはプロセスが参照できない場合もあるようです。
  このような状況なので、おかしいなと思ったら、以下の確認手段で、ボットに感染しているか調べてみて下さい。

1)コンピュータを最新の状態にする

 Windows UpdateまたはMicrosoft Updateを実施して下さい。この時、Microsoftのサイトに接続できないようであれば、ボット(あるいはウイルス)による特定サイトへの接続を妨害されている可能性がありますので、3)の確認を行ってください。不正な設定をされていた場合は、不正の訂正後、再度Windows UpdateまたはMicrosoft Updateを実施して下さい。

2)ウイルス対策ソフトを最新の状態にしてウイルス検査を実施する

 ウイルス対策ソフトをお使いの方は、ウイルス定義ファイルを最新にして、ウイルス検査を実施して下さい。
 ウイルス対策ソフトをお使いでない方は、オンラインスキャンを提供するウイルス対策ベンダがありますので、そちらを利用して下さい。
 この際、ウイルス対策ベンダのサイトに接続できないようであれば、ボット(あるいはウイルス)による特定サイトへの接続を妨害されている可能性がありますので、 3)の確認を行ってください。不正な設定をされていた場合は、不正の訂正後、再度ウイルス対策ソフトを最新の状態にして、ウイルス検査を実施するか、オンラインスキャンを実施して下さい(注意:オンラインスキャンでは直接駆除できない場合があります。検出されたウイルス毎に指定された駆除方法を参考に、駆除を実施して下さい)。

3)マイクロソフトや各ウイルス対策ベンダのサイトに接続できない場合

HOSTSファイルを調べる

Windows NT,2000の場合は、
C:\WINNT\SYSTEM32\DRIVERS\ETCのフォルダにあるHOSTSファイル

Windows XPの場合は、
C:\WINDOWS\SYSTEM32\DRIVERS\ETCのフォルダにあるHOSTSファイル

★内容の確認には、アクセサリのメモ帳 (notepad.exe)を使うと便利です。

 このファイルは、ネットワーク接続の接続先を特定するファイルです。
不正な設定をされると、特定のサイトのURLへ接続しようとする際に、別のIPアドレスへ接続させることができるものです。

HOSTSファイルの例

 このファイルを操作したことがない場合は、以下の定義 (localhost)しか登録されていないのですが、他の定義がある場合は、以下の内容を確認して下さい。
指定されているURLがMicrosoftのサイトであったり、ウイルス対策ベンダのサイトであったりする場合は、それらの定義を削除する必要があります(127.0.0.1は自分自身のコンピュータを指しています)。

  • 127.0.0.1  localhost

 以下は、不正な指定の例

  • 127.0.0.1  www.microsoft.com
  • 127.0.0.1  www.nai.com
  • 127.0.0.1  trendmicro.com
  • 127.0.0.1  update.symantec.com
  • 127.0.0.1  updates.symantec.com

 ただし、行頭の文字が #の場合はコメント行なので、問題はありません。

3.どのようにして感染するのか

 感染方法は、以下のものが挙げられます。

1)ウイルスメールの添付ファイルの実行による感染

ウイルスメールからの感染のイメージ

2)不正な(ウイルスの埋め込まれた)Webページの参照による感染

3)スパムメールに示されたリンク(URL)のクリックにより不正なサイトに導かれて感染

不正なWebコンテンツからの感染のイメージ

4)コンピュータの 脆弱性*1 を突く、ネットワークを通じた不正アクセスによる感染

ネットワークからの不正なアクセスでの感染のイメージ

5)他のウイルスに感染した際に設定される バックドア*2を通じてネットワークから感染

別のウイルスのバックドアから感染のイメージ

 また、以下の感染方法もありうるので、注意が必要です。

6)ファイル交換(PtoP)ソフトの利用による感染

7)IM(インスタントメッセンジャ)サービスの利用による感染

これらのうち、 4)の脆弱性を突いた手法は、ネットワークに接続しただけで感染してしまうことになります。被害者にとっては、見かけ上何もしていないのに感染することになり、感染に気が付きにくいので、特に注意が必要です。
このケースでは、Windows Updateなどにより脆弱性を解消しておくだけでなく、ネットワークからの不正なアクセスを防ぐ対策(後述)を行うことで防御します。

4.感染後の動作

 感染すると、自らネットワークを通じて外部の指令サーバ (多くのボットは IRC(Internet Relay Chat)*3 を使うようです)と通信を行い、外部からの指示により指定された処理(スパムメール送信活動・ DoS攻撃*4 などの攻撃活動・ネットワーク感染活動・ ネットワークスキャン活動*5 など)を実行します。さらに、自分自身のバージョンアップや、指示を待つ指令サーバの変更なども実行します。

1)スパムメール送信活動 (多量のスパムメールを送信する)
スパムメールの送信活動のイメージ

2)DoS攻撃などの攻撃活動 (特定のサイトへのサービス妨害攻撃を行う)
DoS攻撃などの攻撃活動のイメージ

3)ネットワーク感染活動 (コンピュータの脆弱性を狙った不正アクセスによる感染活動)
ネットワーク感染活動のイメージ

4)ネットワークスキャン活動 (感染対象や脆弱性を持つコンピュータの情報を集める)

5)自分自身のバージョンアップ

6)スパイ活動 (感染したコンピュータ内の情報を外部へ送信)

スパイ活動のイメージ

しかしながら、これらの動作を実行しても、利用者には気が付かれにくい、厄介な面を持っています。

5.ボットネットワークの脅威

 同一の指令サーバの配下にある複数 (数百~数千・数万になる場合もある)のボットは、指令サーバを中心とするネットワークを組むため、ボットネットワークと呼ばれています。
これらのボットネットワークが、フィッシング目的などのスパムメールの大量送信や、特定サイトへの DDoS攻撃*4などに利用されると、とても大きな脅威になります。
ボットネットワークの脅威のイメージ

6.ボット対策 --- 一般ユーザはどのような点に気を付ければよいか ---

 ネットワーク(インターネット)を利用する一般ユーザは、ボットなどのウイルスに感染しないために以下に示すような対策を行う必要があります。

  • (1)ウイルス対策ソフトやスパイウェア対策ソフトの導入と、それらのソフトが使用する(ウイルス)定義ファイル等の定期的な更新およびウイルス検査の実施(できればリアルタイム検査の実施)
  • (2)見知らぬメールの添付ファイルは安易に開かない
  • (3)不審なWebサイトの閲覧を控える
  • (4)ブラウザ等のインターネットオプションの有効利用
  • (5)スパムメールなどの、甘い誘いのリンクはクリックしない
  • (6)インターネット接続でのルータの利用や(パーソナル)ファイアウォールの導入と、それらの正しい設定・運用
  • (7)コンピュータ上のOSやアプリケーションを常に最新状態にしておく(Windows Updateの実行など)

7.Web運営者等におけるボット対策のポイント

 Webの運営者等のインターネットを情報公開の場として利用するユーザは、ボットなどのウイルスの、感染活動の踏み台にならないために以下に示すような対策を行うべきです。

  • (1)侵入され、Webページなどがボットの感染用に改ざん(ウイルスの埋め込みなど)されないように注意する
  • (2)コンピュータ上のOSやアプリケーションを常に最新状態にしておく
  • (3)異常が見つかったら、即座にWebを閉鎖するなど被害拡大防止の措置をとる

8.参考情報

 対策を含めて、以下の資料を参照下さい。

用語の説明

  • *1 脆弱性 (vulnerability)

     情報セキュリティ分野における脆弱性とは、通常、システム、ネットワーク、アプリケーション、または関連するプロトコルのセキュリティを損なうような、予定外の望まないイベントにつながる可能性がある弱点の存在や、設計もしくは実装のエラーのことをいいます。オペレーティングシステムの脆弱性や、アプリケーションシステムの脆弱性があります。また、ソフトウェアの脆弱性以外に、セキュリティ上の設定が不備である状態も、脆弱性があるといわれます。脆弱性は、一般に、セキュリティホール (security hole) と呼ばれることもあります。
     近年ソフトウェアの脆弱性について、広い語感を与えるvulnerability を整理し、予定されたセキュリティ仕様を満たさないものを狭義の vulnerability とし、仕様上のセキュリティの欠如を Exposure( 露出 ) として区別する動きがあります。
     このほかにも、広義には vulnerability もしくは security hole と呼ばれながらも、ソフトウェア自体の問題ではない論点には、弱いパスワード等の本人認証の回避問題、設定ミスによる問題があります。

  • *2 バックドア ( 裏口 )

     コンピュータへの不正侵入 ( アクセス ) を目的に仕掛けられる仕組みで、特定のポートを開き、そのポートを利用するサービスとしてプログラムを起動させること。このサービスにより、外部からインターネットを通じて、コンピュータへ侵入することができます。

  • *3 IRC(Internet Relay Chat)

     チャットシステムのこと。インターネット上の IRC サーバに、専用のソフトウェアを利用してアクセスすることで、複数のユーザとの間でメッセージの交換をすることができます。

  • *4 DoS攻撃 ( サービス妨害攻撃 )/DDoS攻撃 ( 分散サービス妨害攻撃 )

     サービス妨害攻撃( DoS 攻撃)には、インターネットプロトコルの特性を悪用して、ネットワークに接続されたコンピュータに過剰な負荷をかけ、サービスを提供できなくするような攻撃があります。このような DoS攻撃の攻撃元が複数で、標的とされたコンピュータがひとつであった場合、その標的とされるコンピュータにかけられる負荷は、より大きなものになります。このような攻撃を DDoS( Distributed Denial of Service :分散サービス妨害)攻撃と呼びます。
     攻撃元は、攻撃者(人間)自身であるとは限らず、むしろ、攻撃者が事前に標的以外の複数サイトに攻撃プログラムを仕掛けておき、遠隔から一斉にDoS攻撃をしかける手法が広く知られています。

  • *5 ネットワークスキャン活動

     ポートスキャンと言う手段を使い、対象のコンピュータの各ポートにおけるサービスの状態を調査すること。
    他のウイルスが仕掛けたバックドアなどが動作しているかも調査することができます。