2006年06月09日(金) 15時49分

激化する悪質なボットネットとの戦い（ITmediaエンタープライズ）

　2001年ごろから登場した「ボット」は、2003年に入るとその感染数を拡大し、今やセキュリティパッチにボット対応コードが含まれない日はないといっても過言ではない。「Interop Tokyo 2006」で行われたカンファレンス「徹底検証：BOTネット対策2006」では、そうしたボットの脅威や対策についてセキュリティ企業の関係者がディスカッションを行った。

●IRCサーバが落ちても別サーバでボットネットを再構築

　ボットの正確な定義はないが、一般的に感染PCに被害を加えたり感染PCを悪用してほかのPCを攻撃するマルウェアといわれている。ボットの特徴は、通常のウイルスやワームのように感染を拡大することだけが目的ではないという点だ。多くは、複数の感染PCを支配下に置き、「ボットネット」と呼ばれるネットワークを形成して、そのネットワークを通じて真の相手を攻撃するために利用されている。Telecom-ISAC Japan/NTTコミュニケーションズの小山覚氏は、実際にボットネットの環境を構築し、そこで得られた結果や感想を報告した。

　まず小山氏は、ボットネットを統括する「Herder（ハーダー：羊使いの意）」となるPCを立ち上げ、感染を広げるためのIRCマシンを数台、感染対象となるPCを100台近くで構成される仮想環境を構築した。ボットのソースコードはC++で記述されており、Googleで検索して入手し、設定をカスタマイズする。設定内容は、ボットにアクセスするためのパスワードやハーダーの認証パスワード、ボットの動作に関する設定など、非常にきめ細かく実施できる。

　設定が完了したら、次にハーダーとしてIRCサーバに接続して、PCを感染させるプログラム「種ボット」を埋め込み、ボットが自動的に感染を拡大するのを待つ。後は、感染PCに使用したいプログラムをインストールすれば完了だ。ボットネットが構築されたら、DDoS（分散サービス妨害）攻撃やスパム中継、情報収集といった攻撃活動を行えばよい。

　「何もしなくても勝手に感染を広めてくれる」と、その使用感に驚いた小山氏だが、それ以上に驚がくしたのはサーバが落とされたときの「バックアップ機能」だ。

　2005年12月23日にボット感染した日本のサーバがアメリカのプロバイダを攻撃するという事件があったが、発生から12時間後にはカリフォルニアの事業者へとサーバが移動するという現象が起こった。これについて検証したところ、「利用しているIRCサーバを止めたら、ハーダーやボットネットとの接続はいったん切れるものの、すぐに2台目のIRCサーバへと切り替えが行われ、それを中心としたボットネットが再構築された」（小山氏）という。「ボットネットは非常に優れたシステムで、それだけにわれわれセキュリティベンダーも真剣に対応していかないとまずいことになる」と小山氏は警告した。

●「ボット感染するやつはバカ、金銭目的で踏み台にして当たり前」

　状態を悪化する要因の1つに、ボットネットを利用するクラッカーの目的が変質している点が挙げられる。インターネットセキュリティシステムズ（ISS）の高橋正和氏は典型的なボットネットのハーダー「0x80」を例に問題を提示した。0x80は、20か国以上に1万3000台の種ボットを管理し、1日約2分のボットネットのメンテナンスだけで月間平均6800ドル（約81万6000円）を稼いだ人物だ。アドウェアを感染PCにインストールし、さまざまな広告を表示させて稼いだという。「彼は今までの愉快犯的なPCオタクと違い、ボットに感染するやつはバカだから利用してやるというスタンスをとっている」と高橋氏は分析する。

　同様の傾向について、JPCERTコーディネーションセンターの伊藤友里恵氏も「ボットネットは金銭獲得のためのツールとして使われている」と同意し、ボットでゾンビPCを作り、2000ドルから3万ドルの価格で取引されるという事例を提示した。

　何よりも怖いのは、ボットは検出しづらく、駆除も難しいという点だ。トレンドマイクロの小屋晋吾氏は、2005年度の日本国内主要ISPの21社にてアクティブなボット数は約81万6000IPあるという結果を発表し、企業からの感染報告は2003年7月から12月の間に激増したと話す。理由は、先に述べたバックアップ機能もあるが、亜種が作成される速度が非常に速く、シグネチャで対応パッチを配布する前に「ウイルスやワームとは比にならない量の亜種」（小屋氏）が出回ってしまう。そのため、ウイルスとして検出しづらく、ユーザーはボットの存在すら気づかないケースが多々あると小屋氏は懸念を示した。

●官民連携による情報提供ネットワークが必要

　検出も駆除も難しいボットネットに、果たして対策はあるのか。高橋氏は、「IPSやアノマリーディテクションによるアクティビティ検出、IPSからファイアウォールなどすべてのセキュリティ機能で検出したデータを統合的に分析するといった対策を、PCおよびネットワークの両面で行う必要がある」という。

　セキュアブレインの星澤裕二氏は現在2つの対策方法を考えており、1つはマルウェアを検出して自動的に解析する方法、もう1つはレスポンスタイムを計測して検出する方法を取り上げた。後者はユニークな手法で、IRCサーバからの攻撃命令に対するレスポンスタイムに着目したものだ。「攻撃命令を受けてから実行するまでの速度は、人間とボットを比較すると明らかにボットの方が速い。その速度を比較分析して、怪しいと思われるものを検出する」と星澤氏は説明した。

　また、トレンドマイクロでは検索エンジンでの対応も強化しているという。小屋氏によると、検索エンジンVSAPIバージョン8.0以上では同一のウイルスで圧縮方式の異なるウイルスを検出する「Unpackerパターン」と、亜種に共通するシグネチャをパターンファイルに採用する「Genericパターン」を、前者は2006年5月10日から、後者は2006年5月23日から提供開始している。NTTコミュニケーションズの小山氏も、同社でプロバイダーに感染報告を行い、注意喚起のメールを送信するなどの対策を行っている。

　さらに、2006年度は総務省や経済省が中心となり、マルウェア対策が実施されると伊藤氏は述べた。「米国ではすでに民間企業や学術機関、地方自治体などをまとめる中間機関を設置し、Webサイトで情報公開や被害者に通知する仕組みが構築されている。日本でも悪意のあるマルウェアを収集し、広く情報を集約して分析する仕組みが必要だ」（伊藤氏）。最後に、関係者は「取り組みは始まっているので、今後さらなる問題解決に向けて最善を尽くす」と約束し、ディスカッションを締めくくった。


http://www.itmedia.co.jp/enterprise/

http://headlines.yahoo.co.jp/hl?a=20060609-00000040-zdn_ep-sci