セキュリティ

ボットネットとは、悪意を持つ攻撃者によって作り出されたコンピュータネットワークのことです。ボットと呼ばれるインターネットを使って悪意の遠隔操作を行うプログラムと、ボットに感染したパソコン群によって構成されます。ボットに感染すると、使用者が感染に気づかないまま、悪意を持つ攻撃者に自由に操作され、スパムメールなどの加害者になってしまいます。

ボットの感染のしくみは、基本的にはウイルスやスパイウエアなどと同様です。ただ一つ大きな違いは、ボットはウイルスなどと違って大勢に感染を広めることを目的としていないことです。なぜなら、感染したパソコンがある程度の数であれば、攻撃の目的を果たすことができるからです。そのため、感染の状況の把握は大変難しく、調査によっては数万から数百万といった規模の台数が感染しているとも考えられています。ボットネットは決して侮れない脅威を秘めているのです。

ボットネットはウイルスのような決まった動作は起こしません。攻撃者が自在に操れるため、スパムの発信やDoS攻撃だけでなく、プログラムを実行したりファイルを送受信するなど、あらゆる操作が可能となります。

ボットは、ネット上でソースが公開され亜種が作られやすい状況になっていることや、比較的小規模のネットワークしか作らないことから、全てのボットの検出が難しく、対策を講じるのが困難です。ボットネットがIRCを利用して攻撃者と交信を行うため、パーソナルファイアウォールの利用も考えられますが、抜本的な解決には至らないのが現状です。

検疫ネットワークシステムとは、社内のネットワークをウイルスの感染や外部への情報流出から守るために、ネットワークに接続するときにチェックを行うシステムです。接続しようとするパソコンがセキュリティ基準に合致していないと判断された場合には、社内ネットワークとは別の検疫専用のネットワークエリアに接続されます。そこで、セキュリティパッチを当てたり、ウイルスパターンファイルを更新するなどの対策を行い、基準に達した時点で社内ネットワークに接続できるようにするものです。

せキュリティ基準に満たないパソコンを検疫エリアに隔離する方法には、主に４つの種類があります。一番単純な方法としては、パーソナルファイアウォールの設定で、最初に特定のLANセグメントへ接続するようにする方法があります。ただしこれは必ず設定してあるということが前提となるため、不確実な方法であるとも言えます。２つめの方法は、最初にDHCPサーバーが検疫エリアだけに接続できる仮のIPアドレスを付与する方法です。DHCPサーバーを設置している企業は多いため、導入は比較的簡単ですが、固定IPアドレスを使うパソコンへの対応が欠点となります。３つめは、認証ゲートウェイを使う方法です。機器の導入が必要ですが、コストの割には効果が高い方法です。４つめは、認証VLANスイッチを使う方法です。利便性も高くセキュリティレベルも高いものですが、設置コストが比較的高くなることが難点です。また、これら４つに加えて、最近ではアクセス制御コンポーネントが収集したセキュリティ関連の情報を利用して対策を行う方式も見られるようになりました。