ボットとプロキシーの関係に見る監視の重要性:三輪信雄「ここが変だよみんなの対策」(情報元のブックマーク数)
ボットはプロキシを超えられない。今はそうらしいです、ふーん。
最近、ボット(不正プログラムの一種)はプロキシーに対応できていないので、透過型プロキシーではなく明示型プロキシーを使えば、少なくとも社内から外部の指令サーバーへアクセスすることを防ぐことができるという考え方に基づいて、プロキシーを明示的に導入する企業が増えているそうです。
ボットとプロキシーの関係に見る監視の重要性 | 日経 xTECH(クロステック)
ここで透過型とは、社内からインターネットへアクセスする際に、例えばブラウザーのインターネット接続の設定でプロキシサーバーのアドレスとポート番号を入力しておかなくても、自動的にプロキシサーバーを経由するものです。これは設定の手間を省けるので多くの企業が既に導入しています。
確かに家庭用だったら、プロキシなんて立てませんからね。でも、レジストリ読めばすぐに分かるので、いつ対応されるか分からない状態。
というか、プロキシを置いていても、透過型でもつながるような状態に置くのはやめようねw
では、なぜプロキシーの設定を反映させることがボットにはできないのでしょうか? 恐らく理由は簡単です。企業内ネットワークはターゲットにされていないのです。一般のインターネット接続された家庭のコンピュータがターゲットなので、プロキシー設定を組み込む必要がないのです。
ボットとプロキシーの関係に見る監視の重要性(2ページ目) | 日経 xTECH(クロステック)
では、ずっとこのまま明示型を使っていれば安全なのかと言えば、答えは「ノー」です。特定の企業や政府を狙った攻撃として、メールに添付されているボットがあるということは、既にターゲットにはなっているわけですから明示型プロキシーの存在が「邪魔」と認識されれば、すぐにでも設定が取り込まれてしまう可能性があります。
結局は色々な悪用が出て対策がでて、イタチごっこ、最終的には監査や監視など運用をしっかりしないといけないってことですね。
基本的には、ボットによるインターネットアクセスを防御するのは感染する主体であるパソコンのパーソナルファイアウォールが最も有効なのですが、これもユーザーが「よく分からないから許可ボタンを押す」という行動を一般のユーザーは取りがちなので、機能しない可能性が高いのです。
ボットとプロキシーの関係に見る監視の重要性(3ページ目) | 日経 xTECH(クロステック)
……さて、ああ言えばこう言うという具合に、ああしてもこういう脅威が出るかもしれないなどとつらつらと書いてきましたが、何が言いたいかというと、これといった決め手に欠ける状況において重要なことは「監視と対応」だということです。つまり、パソコンのパーソナルファイアウォールやゲートウエイで防御はしつつも、指令サーバーやウイルス配信サーバーへのアクセスと思われるアクセスをゲートウエイなどで監視。発見次第対処するという地道な努力が必要なのです。
これまでの経験上、この視点が欠けた対策をたくさん見てきました。みなさんの会社はどうですか?
