Tweet

BOTとは何か？［後編］

なぜBOTは増殖するのか

　前編では、BOTやBOTネットワークとは、どのようなものであるのかという話をしました。BOTは日々増え続けています。なぜ簡単に増殖するのでしょうか。BOTが増え続ける背景や、BOT作成者が使う手口について解説します。

　また、BOTに感染すると情報漏えいのきっかけになるなど深刻な被害をもたらします。しかし、もっと気を付けなければならないのは、知らないうちにほかのサーバに対するDoS攻撃の攻撃元となったり、スパムメールの踏み台として送信元となったりと、加害者になってしまうということです。本編の最後にいくつかのBOT対策をまとめましたので、参考にしてください。

オープンソースのウイルス

　BOTが従来のウイルスと大きく異なる点として亜種・変種が非常に多いことが挙げられます。大量生産されるという点もロボットと通じるところがありますね。

　BOTは「オープンソースのウイルス」とも呼ばれ、そのプログラムソースはインターネット上などで頻繁に公開されています。また、プログラミングのスキルがなくとも簡単に自身でカスタマイズしたBOT作成が行えるツールなども存在しており、亜種・変種の作成は容易です。

　2002年に登場したBOTですが、その後徐々に亜種・変種が増加していき、2003年ごろに爆発的な増加を経て2005年のいまに至ります。このBOTの亜種・変種の数に関してはさまざまな見解がありますが、具体的な典拠として私どもトレンドマイクロ社のウイルスパターンファイル内の情報に当たってみましょう。

　ウイルスパターンファイルとはウイルスを検出するための「ウイルス検出パターン」を集めたデータベースであり、その時点で検出可能なウイルスがすべて収録されているものです。ウイルス対策の現場が分かる資料ともいえます。

　これにBOT系として分類される不正プログラムが初めて収録されたのは2002年6月でした。一種のバックドア型ハッキングツールが「BKDR_SDBOT.05.B」として収録されました。

　以来、2003年6月の時点でBOT関連の検出パターンは208個に。その約1年後の2004年6月には2146個に。そのまた約半年後の2005年年頭には5408個。この原稿執筆時点の2005年8月末では9974個と異常なペースで増えています。

図1　BOT検出名の推移

　この亜種・変種数がどれだけ多いかを一般的なウイルスと比べてみましょう。2001年に登場した「KLEZ」ワームは、BOTが登場した2002年には2万件弱の感染報告を集め、現在でも感染報告の続くマスメーリング型ワームです。このKLEZ関連の検出パターンは現時点で21個しかありません。

　2000年に登場し大流行したラブレターウイルスはVisual Basicスクリプトのウイルスだったので、ソースが容易に入手でき改造が非常に容易なウイルスでした。しかし登場から5年間を経ても関連の検出パターンは111個です。

　また、マスメーリング型ワームとしては亜種が多いとされる2004年登場の「NETSKY」ワーム関連にしても100個程度の検出パターンです。BOTと比較した場合にはまさにけた違いです。

　これはBOTの作成方法が公開されているからだけではありません。従来の愉快犯的ウイルス作者の場合は、そのウイルスに興味がなくなれば改良し続ける理由もなくなります。しかし、BOTのウイルス作者には金銭的報酬というBOTを作成し続けるための理由が確固としてあります。

　公開されたソースや作成ツールを基に世界中で無数のウイルス作者がBOTを作成しているものと見られます。この亜種・変種を容易に作れるということは道具としてカスタマイズがしやすいという長所にもつながっています。ウイルス作者はBOTを自身の目的に沿った機能を持つように変更が可能なのです。

　また外部との通信の安定によりセルフメンテナンス機能も有効なものとなってきました。ハーダー（BOTへの指令者）はアップデートモジュールや別の不正プログラムを送り込むことにより、すでに確立したBOTネットワークの全体の機能をアップデートすることができるのです。この柔軟性もBOTが道具として優れている点です。

Index
なぜBOTは増殖するのか
	Page1 オープンソースのウイルス
	Page2 ウイルス対策ソフトへの対策 BOTのワーム活動
	Page3 BOTへの対策

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード