Symantec、ボット検出サービスの提供を開始

Symantec は3日、同社の管理セキュリティサービスの顧客を対象に、『Global Intelligence Network』(GIN) を利用した新たなボット対策サービスの提供を開始したと発表した。このおかげで、企業は今までより少しは枕を高くすることができるかもしれない。

新サービスでは、脅威となるデータソースを検出するためにネットワークのトラフィックを監視し、悪質ソフトウェアの識別や、既知のブラックリストに基づくトラフィックのチェックを行なう。このサービスはボットネットの検出も含むが、追加料金は発生しない。

「ボット」とは、言うまでもなく、コンピュータに密かにインストールされる小さなアプリケーションのことで、スパムメールの送信や分散型サービス不能化攻撃 (DDoS) などといった悪意のあるタスクを実行するために利用されている。ボットは姿を現すことなくバックグラウンドで動作し、外部の C&C (Command and Control) サーバーと呼ばれるサーバーからの命令を待つ。ある1人の人物あるいは1台の C&C サーバーの下に管理されるボットのグループを「ボットネット」と呼ぶ。

ボットに感染したコンピュータの正確な台数は不明だが、その数は膨大なものにのぼると見られている。

Symantec が記録したボット関連の問題は9月だけでも2000件にのぼるというが、これは驚くほどの数字でもない。同社の管理セキュリティサービス担当副社長 Grant Geyer 氏は新しいボットネット検知手段がなければ、このうち55％を見逃していただろうと話している。

ボットに感染したコンピュータが膨大な数に達すると考えられる一方、C&C サーバーは数千台程度しか存在しないことから、GIN は既知の C&C サーバーを監視する。新しいサービスではこれらのサーバーから発信されたメッセージを追跡し、ボットに感染したコンピュータを特定することができる。

GIN はボットネット発見から10分以内に、ボット感染の事実とブロックすべき IP アドレスを顧客に通知する。また、感染していると結論するに至った証拠の全ても提供する。Geyer 氏によると、この方法は感染を予防するものではないため、完全とは言えないまでも役には立つという。