19-7. 安全なパソコン環境を提供する `27〜 (1) ボット対策せずして明日はなし * ボットに侵入されないようにする ボットの侵入経路には、Web経由とメ−ル経由それに直接がある。ボットに侵入されな いようにするための基本的なことは、ともかく日常的にアクセスするホ−ムペ−ジの他に、 怪しげなサイトをクリックしないこと。怪しげなメ−ルを開かないようにすること。しか し昨今のウィルスやボットはホ−ムペ−ジを見ただけで感染してしまう。メ−ルも然りで ある。既にボットがパソコンに入り込んでしまっているか、たまには或いは定期的に調べ る必要がある。多分パソコンに常駐させている、市販のウィルスチェックソフトだけでは 漏れがあると思う。特に専用のソフトウェアや特殊な装置を購入して設置したりすること なく、とりあえずタダで調べる方法もある。パソコン用オンラインでのスキャンのサ−ビ ス。各社が無料で使えるようにサ−ビスしている。自分のパソコンに検知ソフトをインス ト−ルしなくてもインタ−ネットで使える。調べたら7つか8つこうしたサ−ビスがあっ た。とりあえずこれはどうだ。ロシアの http://www.kaspersky.com/virusscanner/。 * ボットの脅威の認識は低い 正直なところ2007年半ば頃まで、あまりボットについては無知で知ろうとしなかった。 非常に見えにくい捕えどころのないウィルスで、企業の中のIT部門でもまだほとんど関 心はないのでないか。SOX法と内部統制への対応で、実質的なセキュリティ対策がなお ざりにされてはいないか。いやそれ以上にIT部門の技術力の低下、もはや今のネットワ −ク技術に付いていけないのが本当のところではないか。おかしな振る舞いをするパケッ トをブロックするという意味で侵入防御装置は、ボット対策の基本だろうと思う。しかし ファイアウォ−ル程、広まっている感じではないし、有効に稼働できている企業は究めて 少ないと思われる。ウィルスチェックをすり抜けたボットは、もうやりたい放題になって いるのでないか。見えないところで悲惨な事が起こっているのを知らないだけで。`28/03 * ボットの名称と種類について スパイウェア、マルウェア、ボット、ウィルス。これらは総称して何というのか。ウィル スでいいんじゃないの。マルウェアは Yahoo! 翻訳で "破壊工作ソフト" と出た。広告な どを勝手に表示するのはアドウェアのことで、一応悪意はない。マルウェアはウィルスや ワ−ムそれにスパイウェアの総称で Malicious Software という。マルウェアは悪意があ る。どうもこの中でインタ−ネット上の親(ハ−ダ−という)から指令を待つタイプをボッ トと呼ぶようである。ボットはパソコンに潜むプログラムで、ボットの方からハ−ダ−と IRC など何らかの通信を行なう。ハ−ダ−から同じ命令を受けたボットは一斉に同じとこ ろにspamメ−ルを送るとか、DDoS 攻撃をするとか、これがボットネットといわれる。 ボットの名前というのは NetSky.a とか NetSky.b とか付けられているのか。ボット自体 まだあまり広く認知されていないので、名前もコレだ−というのは無いみたい。代表的な ボット3系統 Gaobot, Randex, Spybot というのはあるらしい。ボットの種類には IRC型 と P2P型があるそうな。ボットのソ−スコ−ドが流出したので、亜種がすごくたくさん出 回ることになったという。2006年前半でスパイウェアSPYW_GATOR 1700件、WROM_RBOT 500件。"Interop Tokyo 2007" のサイバ−クリ−ンセンタ−(CCC) のプロジェクトのコン ファレンスでの発表では、ハニ−ポットで収集したボットプログラムの検体は 31,082 種、 市販ウィルス対策ソフトで検知できなかったのは 1,711 種あった。 * パソコンで対策できること この後のところでいろいろボットの検知、駆除のことを書いたが、どうもリアルタイムで はできそうにない。かなりの割合でパソコン内に入り込む可能性がある。とりあえずボッ トが少しでも潜んでいそうなサイトには近寄らないこと。Windows XP や Vista のIE7 にはフィッシングサイトを警告する機能がある。spamメ−ルの中にも誘導するリンク が書いてあるかも知れない。Windows Vista の Windows Mail には迷惑メ−ル対策の機能 が入った。XP と Vista のファイアウォ−ル機能も役立つかも知れない。少なくともボッ トが連絡に使う IRC のポ−トをふさぐことができる(パソコンから外への方向)。 君子危 うきに近寄らず。しかしそれだけでは何とも防ぎようがないのがボットである。 パソコンにボットが入り込み活動を始めたとする。キ−ロガ−でパスワ−ドを盗む、これ にはパスワ−ドを使わない、例えば指紋認証にするとか。パソコンのファイルをどこかへ 送ろうとする、これにはファイルの暗号化はどうだ。盗まれても読めないようにしておく のである。Windows XP Professional と Windows Vista Business はフォルダ単位で暗号 化できる。 Windows Vista Ultimate なら加えてハ−ドディスクをまるごと暗号化できる。 まだまだ社内に多い Windows 2000 でも暗号化できるとマイクロソフトの資料には書いて あった。市販の暗号化ソフトも多数ある、USBキ−を差すと復号化できるものとか、パ ソコンを一括管理する機能があったりもする。先ずはOSの暗号化機能を試すのが先だ。 * ボットの侵入、命令、実行 ゲ−トウェイ型のウィルスチェックのアプライアンスは、ボットを検出できるのか。ボッ トがウィルスの一種なら、できてもいいのでないか。ウィルスとの一番の違いは数がとて も多いこと、そのため漏れも多いこと。侵入経路はメ−ルの添付などによる、ホ−ムペ− ジのアクセスによる、ファイル共有(CIFS)の脆弱性による、バッファ・オ−バ−フロ−。 バッファ・オ−バ−フロ−でボットが侵入する。ワ−ドや PDFファイルに、ボットを忍ば せる。普通のワ−ドや PDFファイルだと思ってクリックするとボット侵入用のプログラム が実行してしまう。特にワ−ニングもでないので、ユ−ザは気付かない。ちょっと何か変 だなと思う程度ですぐに、次のことに移ってしまう。 ボットがハ−ダ−と通信してプログラムを取りに行くのに TFTP を使うこともある。 FTP は社内ネットのどこからでもOKにしようかと思ったが、やらない方が安全である。これ までどうしても業務に必要だと言って来た人だけ、ファイアウォ−ルでパソコンのIPア ドレスを許可してきた。結構、異動があったりしてその度、申請してもらってきた。 ボットはチャットの IRC TCP/UDP 6667番でハ−ダ−と通信する。他のポ−ト番号や HTTP で通信するのも出てきている。社内のパソコンから同じような挙動をする、同じIPアド レスに何かアクセスしようとしているとか。そんなのはパソコンがボットに感染している 可能性が高い。でもIPSのログをつぶさに見ないことには判明さすことはできない。 IFRAME というのが何なのかやっと分かった、`27/07。DefensePro のログにこれまでもず っと一杯でていた。HTML の記述に