40〜50人に1人がボットに感染――ボットネットの実態が明らかに

12月15日に開催された「Email Security Conference」では、Telecom-ISAC Japanによるボットネットの調査結果が紹介された。大量に現れる新しい亜種や感染しているユーザーの数など、ボットの恐るべき実態が明らかとなった。

» 2005年12月15日 19時28分 公開
[堀見誠司,ITmedia]

 「裸(セキュリティ未対策)のPCをネットにつなぐと4分でボットに感染する」。メールセキュリティをテーマとしたイベント「Email Security Conference」のセッションにおいて、Telecom-ISAC Japan(T-ISAC-J)企画調整部 副部長の小山 覚氏(NTTコミュニケーションズ)が独自の調査結果に基づくボットネットの実態を明らかにした。T-ISAC-Jは、情報通信インフラのセキュリティの確保を目的に2002年7月に設立された日本データ通信協会の内部組織。

 ボットネットとは、ワームや不正なプログラムをインストールされ、遠隔から操作可能となった多数の「ゾンビPC」(ボット)が、攻撃者の命令で一斉にDDoS(分散型サービス停止)攻撃やスパムメール送信などを仕掛ける状態を指す。2004年の春ごろにISPのメールサーバに向けて海外から大量の日本語メールが送りつけられる現象が発生、送信元のIPアドレスが数百もあったことから、国内でもボットネットの存在が表面化した。だが当時は、その実態に関する情報が不足していたため、2005年1月以降、T-ISAC-JはJPCERT/CCと共にISPやセキュリティベンダーなどと連携し、ボットネットの本格的な実態調査を始めた。

ボットの実態を紹介するTelecom-ISAC Japan(T-ISAC-J)企画調整部 副部長の小山氏

 調査は、ISP内に設置したハニーポットによる検体の収集・観察や、ISPへのヒアリングを通して実施。調査結果として、国内のISPユーザーのボット感染率は2〜2.5%で、40〜50人に1人が感染していることが判明した。また、小山によると、対策をまったく施していないPCをインターネットに接続した場合、平均4分でボットに感染するという。現状では常時20種類程度のボットが感染活動を行っており、1日平均70種類以上の亜種が確認された。

 さらに、検体の解析結果として、次のようなデータが取れた。

  • 検出したボットのうち、POEBOT、RBOT、SDBOTの3種類が95%を占めている
  • IRCは公開されているものではなく専用のサーバが使われる
  • ボットが利用するIRCサーバはTCP 6667番ポートが約半数を占める
  • IRCサーバに接続するボット数の制限は3000程度
  • サイトへのDDoS攻撃やスパム送信には数百台のボットネットで十分
  • イントラネットに侵入しているケースもある

 ボットネットによるスパム送信に関しては、1時間で平均6890通のメールがボット1台から送信される。IRCサーバを経由せずリダイレクトを利用してメールが送られる仕組みの中では、決定的な防止策がないようだ。ボットは正規のISPユーザーになりすましてメールを送信できるため、SPFのような送信ドメイン認証やサブミッションポート、Outbound Port 25番ブロックのようなスパム対策は効果が薄いという。

 小山氏は最後に、ボットネットの推移の早さに追従していく難しさについて言及。「ボットは自己メンテナンス機能により頻繁にバージョンアップを行っており、かつソースコードが流通しているため、形態・機能を簡単に追加できる。そのため、ボットの観測や研究は継続的に行わなくてはならない」としながら、攻撃だけではなく金銭的な損害に結びつく情報収集にも利用されているボットに対して、ISP側がユーザーに注意を喚起していく必要があると語った。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ