(C)Macnica Networks Corp.
issue date: June 1,2008


新製品情報

ボット感染コンピュータは世界で1億5千万台!?
―米FireEye社製アンチボットネットプロテクションシステム―



  最近セキュリティ上の新たな脅威として、「ボット」や「ボットネット」というものを耳にすることが多くなりました。ボットはウィルスとどう違うのか、どのような脅威であって、どう対策すればいいのかに関しては、まだ充分認識されていないのが現実のようです。
  マクニカネットワークスでは、ボットを最新の仮想化技術を用いて高い精度で検出する米国FireEye社のアンチボットネットプロテクションシステムの取り扱いを開始しました。今回はこのFireEye社のBotwallアプライアンスをボットの現状を交えながらご紹介します。  
ボットとウィルスはどう違うのか
  ボットとウィルスあるいはワームとの違いについては、様々な側面から見た違い(単独で動作するのか、他のプログラムに寄生するのか、また、自己増殖をするかどうかなど)で解説されていますが、ボットとそれ以外の脅威との決定的な違いは、ボットが、その名前をロボットに由来しているように、外部から指令を待ち、それを受けて感染したマシン内で悪意のある行為を行うところにあります。

 従来のウィルスやワームは、大規模感染や作者の自己顕示欲を満たすところにその目的があり、データの消去をしたり、ポートスキャンを掛けたり、でたらめなコネクションを試みたりと、特異な動作をするものがほとんどでした。これに対し、ボットとその感染マシン(ゾンビと呼ばれる)の集合体であるボットネットは、金銭を目的として悪事を行うプラットフォームとなっています。
FireEyeによるボットの拡散マップ
FireEyeによるボットの拡散マップ
拡大図はこちら>>>

脅威はどの程度深刻になっているか
  インターネット上のボットによる脅威は後を絶ちません。インターネットの父と呼ばれるVint Cerfは、2007年のWorld Economic Forumの中で、6億台のコンピュータがインターネットに接続され、そのうちの1億5千万台のコンピュータがボットに感染し、ボットネットを形成していると述べています。またComputer WorldによるとGoogleは自らがキャッシュしているページのうち3百万ページ(およそ1000ページに1つ)に悪意のあるコードがあるとレポートしています。今年になってからもSQLインジェクションによる改ざんやPHPで書かれた掲示板プログラムのphpBBの旧版の脆弱性を悪用して50万サイトが改ざんされたなど大きな被害が報告されています。

 ボットは高度なステルス性を持つことにより、ユーザに感染を気付かせません。そのため、ボット自体には大規模感染を図る機能はなくとも、改ざんされたウェブサイトへ脆弱性のあるPCでアクセスすることで、ユーザは気付かないうちに次々に感染してしまいます。これにより、ユーザは知らぬ間に犯罪行為に利用されたり、個人情報や機密情報を搾取されるなど、攻撃者の意のままに操られてしまうのです。
既存のセキュリティモデルでは対応できないのか?
  例えば、アンチウィルス製品やIDS/IPS、ネットワーク振る舞い分析、ハニーポットなど幅広く実装されている多くの既存セキュリティモデルがありますが、シグネチャーやパターンファイルベースのソリューションの場合、検体を入手して解析し、その検体に対するシグネチャーを作成し、配布するという一連の作業が必要になります。しかし、急速かつ大量の変異種が発生するボットの場合、対応できるマルウェアは全体のごく一部であり、昨今見られるいわゆる標的型攻撃の場合、広く拡散しないため、さらに検体の入手が困難になっています。標的型攻撃とは目的を持った特定の組織に属するPCのみを対象にボットにさせるような攻撃のことです。また、ネットワークの振る舞い検知型ソリューションも、ステルス性が高いボットは基本的に「その動作がおとなしく」、振る舞い検知では検出できないものが多くなっています。そのためこれらの既存セキュリティモデルの中には大きなギャップが存在し、そのギャップを埋めることができる新しいソリューションが必要になっています。

  実際、例えば国内では、総務省と経済産業省によるサイバークリーンセンター(以下、CCC)プロジェクトが、ISPや関係機関の協力のもと、ボットウィルスの検出、感染者の特定、駆除を促す活動を実施しています。このCCCプロジェクトから毎月報告されている活動実績データは、市販のウィルス対策ソフトでは検知できないボットウィルスが毎月数多く発生していることを示しており、ネット上の未知の脅威を払拭することは、非常に困難であることをうかがい知ることができます。
FireEyeのソリューション
  カリフォルニア州ミルピタスに本社を置くFireEye社は、こうしたボットネットや標的型攻撃、ステルス性を持ったマルウェアに対処するアンチボットネットプロテクションシステム「FireEye BotWall」アプライアンスを提供しています。最新の仮想化技術を用いて“加害”マシンと“被害”マシンを専用アプライアンス内に生成し、市販のウィルス対策ソフトでは検知困難なボットウィルスの検出・解析を可能にします。独自技術である、悪意のあるプログラム発見のために開発された仮想マシン内で、実際のネットワークで発生している実トラフィックを元に正規のWindows2000やWindwosXPを稼動させます。そこで再現されたCPUやOS、アプリケーションの挙動を監視・解析することにより、たとえ標的型攻撃やゼロデイ攻撃、未知のマルウェアであっても、ボットウィルスを正確に検知することができます。また、収集したボットネットの情報をトレース・分析し、世界的規模でシェアすることを可能としています。

FireEye Botwallアプライアンスの動作フェーズ
FireEyeのソリューション
 
フェーズ1. アグレッシブキャプチャーと呼ぶ、フォールスネガティブを最小化するための、非常にわずかなトリガーで疑わしいトラフィックを特定する、非常にセンシティブなフィルタリングを行う
フェーズ2. キャプチャーしたトラフィックフローを仮想マシン間で再生し、C&Cサーバのロケーションを特定し、パケットをpcapフォーマットで記録し、ダイナミックにシグネチャープロファイルを作成する

FireEye Botwall製品ファミリー
 FireEye Botwallアプライアンスはモニタリングパフォーマンスによって3つのモデルがございます。

  Botwall 4100 Botwall 4200 Botwall 4700
形状 1Uラックマウント 1Uラックマウント 2Uラックマウント
重量 14.52Kg 14.52Kg 24.49Kg
サイズ 43.8x55.3x4.5cm 43.8x55.3x4.5cm 43.8x61.0x8.9cm
インターフェース 10/100/1000
Base-T x 4		 10/100/1000
Base-T x 6		 10x100x1000
Base-T x 8
10Gbps SR Fiber
GBICx1
パフォーマンス 250Mbps 1Gbps 6Gbps

FireEye Botwall

さらに詳細をご希望の方は、ご遠慮なくお問い合わせください。



● お問い合わせ先
マクニカネットワークス株式会社 LANchBOX編集
E-mail:
TEL:045-476-1973
FAX:045-476-1976