ワームに位置付けられる「ボット」とは

本連載では「2007年に発生した」または「2008年に発生が予想される」さまざまなセキュリティリスクから、Think ITが注目するものについて取り上げ、その傾向と対策を紹介している。前回の「第2回：お金儲けがその目的と知れ」では、「プロ用の攻撃キット」と「PDF／グリーンカードスパム」の2つの脅威に注目した。今回は「ボット」と「Webプラグイン」をテーマに解説を行う。

今回、記事の監修を行っているシマンテックでは、実は「ボット」という名前は使っておらず、あくまでウイルスとしてとらえている。「ファイル感染型ウイルス」と「トロイの木馬」そして「ワーム」の3種類に分類しており、ボットはワームの1つにカウントされている。

ボットの中で大きな勢力となっているのが「Gaobot」と「Spybot」で、そのコード中にある「bot」という言葉から命名されている。一方でボットの一部には自分自身を拡散する機能を備えていたことから、ワームの1つとして考えているとのこと。

ただしボットの目的として自己拡散機能は必須とは言えず、どちらかといえば「感染した複数台のPCを同時に遠隔制御する」ところに主眼が置かれている。またボット同士の間でネットワークが存在する点も特徴の1つとなる。

アマチュアからプロの時代へ

ボット自体の流行は2〜3年前にさかのぼり、対策が進んだ現在では「大きな脅威」とはいえないかもしれない。これは、新しい攻撃手法や危険性を持ったボットがいまだ登場していないことからもうかがえる。

しかし政府プロジェクト「Cyber Clean Center（https://www.ccc.go.jp/）」が立ち上がっているにも関わらず、今現在もネットワーク上で存在が確認されていることこそが、ある意味で脅威であるといえるだろう。

前回の記事で、ウイルスの産業の目的が「金銭」にあることを解説したが、現在のボットのあり方では「稼ぐ目的」にはそぐわない。それは明確な標的があるというよりは、ボットを作り出す／改変することが「楽しみ」であると考えられるからだ。

ボットの製作者は「Script Kiddy（スクリプトキディ）」と呼ばれているアマチュアが中心だ。その人たちが制作し、ばらまいて楽しんでいるというイメージがボットの姿なのである。楽しみである以上このような「遊び」は継続すると考えられる。

一方で、今後ボットが明確な「標的」を持つようになったとしたら、状況は変化するだろう。例えば昨年流行した「StormWorm」は、ボット的な機能としてSPAMメール配信機能を備えていた。その数は非常に多く、大量に出回っている状態であり、対策を行なっても勢いは衰えない。

StormWormそのものは高度なテクニック／技術は使われておらず、単純なウイルスといえる。しかし当初SPAMメールで配信していたものが、Webページからダウンロードさせるようになるなど、戦略の変化や亜種の存在によって生き残っている状況だ。またP2Pの技術を利用しており、クライアント間のネットワークを使ってアップデートされる点もStormWormが存在し続ける理由だといえるかもしれない。

ある意味では、アマチュアではなくプロの手によって作られたボットがStormWormである、という見方ができるかもしれない。必要な機能だけ取り入れ、不必要なものを切り捨て、その状態で活用される新タイプなボットだといえるだろう。 次のページ