あなたのコンピュータがゾンビにならないように気をつけて!

5月はゾンビ撲滅月間なので、FortiGuard Labsで日々追跡しているゾンビの現在の危険性と活動にもう一度スポットを当てたいと思いました。もちろん、ここではコンピュータ ゾンビについて話しています。コンピュータ ゾンビとは、疑うことも不平を漏らすこともなく、リモート マスターからの命令に従順に従う感染マシンです。ゾンビは急激にその数が増えるという潜在性があり、各々は最終的に同じマスターに報告し、ボットネットを形成します。

今日、われわれはゾンビを撲滅しようと全面的に戦っています。そうです。ハリウッド映画ではありませんが、まさに、サイバースペース上の"The Walking Dead(ウォーキング デッド)"です。世界中の捜査関係当局やセキュリティ エキスパートがこうしたゾンビの捜索、監視および撲滅に協力しています。最近の例では、Bredolab (Dutch High Tech Crime Unit:ドイツ ハイテク犯罪捜査班)、Rustock (Microsoft DCU)、およびCoreflood (FBI)があります。出回っている感染性のある大量のゾンビをもとにして、今日のゾンビによる脅威をいかにして発見しその脅威から逃れるかに焦点を当てたいと思います。

フォーティネットの2011年度ゾンビ サバイバル ガイド:

1) 定期的にマシンおよび環境を点検してください。

  • ゾンビはとても辛抱強いコードなので数週間か数ヶ月待機して攻撃してくる可能性があります。1回きりの点検では不正な活動を観察できないので、1回点検しただけで問題なしと見なさないでください。

2) 視覚的な点検やマシンの報告だけに頼らないでください。ゲートウェイのトラフィックを検知するのがゾンビを探し出すには最良の方法です。なぜなら、パケットがすでにマシンから送られており、さらに変更されることはないからです。

  • ゾンビはルートキットでマシンを感染させることができますが、ファイル、ウィンドウ、ネットワーク トラフィックなどを隠すといった、本質的にオペレーティングシステムをコントロールできるようにするカーネル レベルの特権を得ています。

3) 検出されたマシン、または偽装のアンチウイルス ポップアップなどの視覚的な手がかりのあるマシンを即座に隔離してください。ネットワーク内に戻す前に駆除してください。

  • ゾンビが稼いだお金がすべてボットマスターに渡ります。最も人気のある方法はスケアウェアを通して行なう方法です。スケアウェアとは、ユーザに対してウイルスを除去するソフトウェアを購入する必要があると知らせるポップアップ ウインドウです。それは、常駐しているゾンビがこのソフトウェアをダウンロードしてキャッシュフローを作り出していることの確かなシグナルです。ゾンビはネットワーク上の他のローカル マシンを瞬間にして感染させることができるので、脅威が完全に駆除されるまで即刻、隔離することがとても重要です。フォーティネットのFortiCleanup Rootkit & Malwareリムーバル ツールは以下のサイトで無料で手に入ります。http://www.fortiguard.com/antivirus/malware_removal.html

4) トラフィックをプロファイルしてください。

  • ゾンビは繰り返し行なう習慣を持っている場合が多くあります。同じポート(通常はHTTP)上の同じサーバに同じ方法で応答します。同じIPに対するアウトバウンドのHTTPリクエストが絶え間なく行なわれていることを検知する場合、特段、ブラウザは使用されていなければ、ゾンビがシステムに感染したことは間違いないと言えます。

5) 放出トラフィックを点検してください。

  • 不正侵入防止は、ゾンビがネットワークに侵入してくるのを防ぎます。それと同じテクノロジもゾンビの侵入を検知するのに役立ちます。マシンがゾンビに感染したとしても、ボットマスターにアウトバウンドされるゾンビ トラフィックを検知しブロックすることは、脅威を軽減するのに効果的な方法です。この方法を実行すると、ゾンビはまだ生きていますが、コマンドを受け取ったり盗まれた銀行の認証情報などの情報を送ったりできません。

6) 感染を食い止めよう! 攻撃に対する防御

  • ゾンビは、メールの添付ファイル、不正なリンク、USBドライブ、PDF文書を通して感染します。自動起動機能が有効になっていないことを確認してください。たいてい、感染を引き起こすためには、ユーザにファイルを開かせたり、リンクをクリックさせたりする必要があります。常にクリックする前にリンクをよく見てください。そのリンクはどこに飛ぶでしょうか。ドメインのスペルは間違っていませんか。リンクがメール、ソーシャルネットワーキング、インスタントメッセージなどどの媒体を通して送られているかは問題ではありません。同じプロセスに慣れ切っていませんか。.pdf、.doc、.xlsファイルも感染元になる可能性があります。添付ファイルやリンクが付いたメールは開く前にそれらをよく調べてください。

7) 安全のために統合脅威管理(UTM)アプローチを配備してください。

  • アンチウイルス インスペクションはあなたのシステム上でゾンビのバイナリ コードが実行されるのを防ぐのに役立ちます。
  • 不正侵入防止は、攻撃コードが不正なWebサイトを通してシステム上にゾンビを植え付けるのを防ぐのに役立ちます。
  • Webフィルタリングは不正コードがブラウザに送られる(検査される)前に不正なURLをブロックするのに役立ちます。
  • アンチスパムは、添付ファイルやリンクを帯びている不正なメールを警告するのに役立ちます。
  • アプリケーション コントロールはボットマスターから切り離すことでゾンビの侵入を防ぐのに役立ちます。

ゾンビを見つけたと思ったら、遠慮なく詳細を弊社までご連絡してください! Safe travels-良い旅を!