C&Cサーバ(ボットネット)に警戒を

マルウェアの脅威については対策すべきですが、ボットネットに対しても警戒する必要があります。
そもそもボットネットとは何でしょうか。

C&Cサーバ(ボットネット)とは

ボットネットとは、C&Cサーバによってコントロールされた端末群を指します。
そしてC&Cサーバとは、乗っ取った端末に対して指示や制御を行うサーバのことを指します。
C&Cサーバに操られている端末のことをゾンビコンピュータと表現し、そのゾンビコンピュータの群れがボットネットです。

感染被害

ボットネットは感染していることをユーザーに悟らせません。
例えば出社後に端末の電源を立ち上げ、普段通りに業務を行っている陰で、端末自身は陰で外部サーバの情報を盗んでいたり、サービスを停止するように攻撃をしている可能性があります。
感染端末(被害者)は大元の攻撃者の代理で攻撃を行っているため、結果として加害者となってしまいます。

ボットネットはOSの脆弱性を悪用されたり、YouTube内に偽装する手口も確認されており、身近な存在であると言えます。
何も作業していないのに端末のファンがフル稼働していて、動作も重く感じているのなら、実は外部へ攻撃中だったり、マイニング中だったり、という可能性はゼロではないかもしれません。

防御対策

マルウェアの感染を未然に防ぐことは重要ですが、感染している端末への接続も警戒する必要があります。

WacthGuard社が提供しているUTM、Fireboxのセキュリティ機能であるBotnet Detectionは、C&Cサーバとボットネットへの接続を遮断します。
クラウドデータベースには悪意がある、または評価の低いIPアドレスが随時登録されており、Fireboxはその情報を読み取り、該当するIPへの接続を即時遮断する仕組みになっています。

感染すると被害は時間と共に拡大します。早めのセキュリティ対策を検討しましょう。
サービス紹介:UTM(統合脅威管理)