背景

情報漏洩の一因となる「ボット」とは？

「ボット」とは、コンピュータウイルスの一種で、その動作がロボット（Robot）に似ているところから、ボット（bot)と呼ばれています。
これに感染したコンピュータは、悪意のある第三者（攻撃者）によって操られ、「迷惑メール（スパム）送信」、「特定のWebページへの攻撃（DDoS攻撃）」、「感染活動」などの迷惑行為に利用されたり、コンピュータ内の情報を盗み出すスパイ活動によって個人情報や機密情報が漏洩するなど、深刻な被害が発生します。
ボットに感染したコンピュータによって構成されたネットワークは「ボットネット」と呼ばれ、攻撃者はボットネットに接続した多数のコンピュータを一度の命令で操作することができます。

爆発的に増加するセキュリティ脅威

2010年現在、Symantec社では、1日27,000個の定義ファイルを作成していますが、他社セキュリティベンダーも含め、サンプル収集・解析は間もなく限界に達するような状況です。

ボットの侵入経路 ～ボットネット化してしまう要因は、やはり標的型攻撃から～

• 経路（1） ネットワーク感染型 Windows等のOSや、その他プログラムのセキュリティホール（脆弱性）や設定の不備を悪用されて感染する。インターネット等のネットワークに接続するだけで感染する。
• 経路（2） メール添付関連型 迷惑メールの添付ファイルをクリックし感染する。
• 経路（3） Web誘導感染型 迷惑メールのURL等をクリックし、アクセスしたページからウイルスをダウンロードして感染する。
• 経路（4） Web閲覧感染型 ブラウザで閲覧したホームページに埋め込まれたウイルスをダウンロードして感染する。ホームページを見ただけで感染することもある。
• 経路（5） 外部記憶媒体感染型 USBメモリ、デジタルカメラなどの外部記憶媒体を介在して感染する。

標的型攻撃では、経路（2）「メール添付感染」と経路（3）「Web誘導感染」がその要因の90%を占めています。
続いて経路（5）「外部記憶媒体感染」が7%、経路（4）「Web閲覧感染」が3%となっています。

標的型攻撃で利用されるボット

【 侵入 】 既存のセキュリティ対策を回避

メール／USBによる不正プログラムの侵入・感染 標的型メールやUSBメモリでシステムに侵入する。
脆弱性を利用し、従来のウイルス対策では検知できない場合が多い。

【 検出 】 通信経路を確保し様々な準備を行う。

新たな不正プログラム（ボット）のダウンロード 侵入したシステムにバックドアを仕掛け、外部のC&Cサーバと通信を行い、
拡散や機能強化を行う。

ボット経由による侵入・調査 感染したPC経由で重要なサーバの場所を突き止め、
キーロガーでパスワードを解析し重要な情報へのアクセス権を奪取する。

【 取得 】 環境を把握し支配権を得る。

社内ネットワークへの不正アクセス 重要なシステムに対して侵入を試みる。
アクセスログなどのアクセス履歴が編集（削除）され被害に気が付かない場合がある。

【 転送 】 資産を外部に移動する

機密情報の漏えい 外部に乗っ取られたPCを経由（または直接）サーバへアクセスを行い重要な情報を搾取し、
社外へ持ち出す。

インシデント対応のライフサイクルと検知・分析の重要性

準備

手順書の作成

CSIRTの設置

検知、調査機能の実装

訓練の実施

検知と分析

前兆や兆候の検出

兆候の分析

優先順位付け

通知や報告

封じ込め・根絶・復旧

状況の確認

被害拡大の防止

インシデント原因の調査

復旧

事後の対応

セキュリティ対策の改善

インシデント対応の評価と改善

証拠の保管

「検知」と「分析」、つまり現状の把握ができて初めて、「封じ込め」「根絶」「復旧」における適切な対処が可能となる。

ボットによる通信の兆候を検出し、的確かつ容易に分析できる体制（仕組み）が必要である。
また、フォレンジックによるパケットの記録と保全も必要である。