しばらく前から、セキュリティ関係のコミュニティでは話題になっているけど、こういう代物が出てきたようだ。ネット上での戦いも、だんだんゲリラ戦の様相を呈してきた。
http://www.itmedia.co.jp/enterprise/articles/0605/02/news014.html
通信を暗号化するだけじゃなくて、P2P的にボット相互が通信する、つまりはこれまでにように特定のIRCサーバに接続するのではなく、動的に変化する複数のスーパーノードを介して相互に通信するのだろう。当然、一般のP2P同様に、ボットネット全体についての冗長性が高くなるので、ボットネット全体を落とす、もしくはフィルタすることが困難になってしまう。この例の場合は 8/TCP という特定の、それも通常は使われないポート番号を使っているので、比較的フィルタリングしやすいが、もし、これがダイナミックに変化したり、たとえば、80/TCP といったフィルタすることが難しいポートが使われたとしたら、と考えるとちょっとぞっとする。
通信を暗号化されてしまうと判断も難しい。プロトコルを詳しく解析すれば、特徴を見つけ出したり、一般のHTTPやSSLとの違いを見つけて検知することも可能だろうが、これはウイルス解析に匹敵する技術が必要になるにちがいない。たぶん、こうしたものを検知できるIPSが今後必要になってくるだろうが、そのシグネチャ(もしくは検知アルゴリズム)の更新はウイルスのパターンファイル並の頻度になってくるかもしれないな、と想像している。
リアルワールドの戦争同様、ネットの戦いも、対ゲリラ戦、対テロ的視点が不可欠になってきたということか・・・。
コメントする