ボットは「改造」で観測の目を欺く――警察庁レポート

警察庁のサイバーフォースセンターの観測によると、ボットネットはより危険な方向に変化し続けているという。

[ITmedia]

　「ボットネットの活動の方向は、より危険な方向に変化し続けている」――警察庁のサイバーフォースセンターは3月16日、2005年7月から12月にかけての、国内におけるボットおよびボットネットの観測結果をまとめ、公開した。

　この分析レポートは、警察庁サイバーフォースセンターが構築したボットネット観測システムでの観測結果を基にまとめられたもの。

　レポートによると、2005年下半期の間に観測されたボットに感染したPCの数は5万2723台、うち日本国内は5178台で全体の9.8％を占めた。上半期がそれぞれ128万5247台、14万4512台だったのに比べ、95％以上の大幅な減少だ。

　しかし警察庁はこの結果を、単にボットが撲滅されたからとは見ていない。個々のボットネットのサイズが小規模化しているほか、ボットの作者側がその活動を捕捉されないようにするため、意図的にIPアドレスを隠したり、調査命令に結果を返さないよう「改造」「設定変更」を加えていることが主な原因だと推測している。

　ボットに感染したPCに指令を出すサーバ（ハーダー）の数を見てみると、ドメイン数で見ると前期に比べ17.5％減少し118ドメインだったのに対し、IPアドレスで見ると逆に36.1％増加し、904アドレスに上った。この理由として警察庁は、1つの指令サーバに「複数のIPアドレスを割り当てることにより、指令サーバの冗長化を図っているものと思われる」としている。

　ボットがPCに感染する方法については、引き続き、Windows OSに存在する脆弱性の中でも、TCP 135番ポートを通じてDCOMの脆弱性を悪用するものが46.5％を占めた。一方で、プラグアンドプレイの脆弱性（MS05-039）やSMBプロトコルの脆弱性（MS05-027）といった比較的新しい脆弱性を狙った感染活動も観測されているという。

　感染後のボットの活動を見ると、情報収集に関しては、ネットワーク情報を表示させる命令が大幅に減少した一方で、IDやパスワードといった価値の高い情報を収集するためか、キーロガーに関する命令が大幅に増加した。

　また外部への攻撃については、同じDoS攻撃でもSYN Flood攻撃が81.5％減少し、逆にUDP Flood攻撃は68.8％増加した。SYN FloodにACK Floodを組み合わせた攻撃は414.2％増加しているという。つまり、「より防御が困難な」攻撃手法への移行が見られる。

　分析レポート全体からは、ボットおよびボットネットが、「より目立たず」「攻撃者にとってより効果的な攻撃を」狙っていることが浮かび上がってくる。これを踏まえ警察庁では、「修正プログラムの適用」「ウイルス対策ソフトの導入および定義ファイルの更新」といった基本的なセキュリティ対策を心がけ、ボットへの感染を防ぐよう呼びかけている。