激化する悪質なボットネットとの戦い：Interop Tokyo 2006（2/2 ページ）

[ITmedia]

官民連携による情報提供ネットワークが必要

　検出も駆除も難しいボットネットに、果たして対策はあるのか。高橋氏は、「IPSやアノマリーディテクションによるアクティビティ検出、IPSからファイアウォールなどすべてのセキュリティ機能で検出したデータを統合的に分析するといった対策を、PCおよびネットワークの両面で行う必要がある」という。

セキュアブレインの星澤裕二氏

　セキュアブレインの星澤裕二氏は現在2つの対策方法を考えており、1つはマルウェアを検出して自動的に解析する方法、もう1つはレスポンスタイムを計測して検出する方法を取り上げた。後者はユニークな手法で、IRCサーバからの攻撃命令に対するレスポンスタイムに着目したものだ。「攻撃命令を受けてから実行するまでの速度は、人間とボットを比較すると明らかにボットの方が速い。その速度を比較分析して、怪しいと思われるものを検出する」と星澤氏は説明した。

マルウェアの情報を収集し公開する官民連携のネットワークが必要になる

　また、トレンドマイクロでは検索エンジンでの対応も強化しているという。小屋氏によると、検索エンジンVSAPIバージョン8.0以上では同一のウイルスで圧縮方式の異なるウイルスを検出する「Unpackerパターン」と、亜種に共通するシグネチャをパターンファイルに採用する「Genericパターン」を、前者は2006年5月10日から、後者は2006年5月23日から提供開始している。NTTコミュニケーションズの小山氏も、同社でプロバイダーに感染報告を行い、注意喚起のメールを送信するなどの対策を行っている。

　さらに、2006年度は総務省や経済省が中心となり、マルウェア対策が実施されると伊藤氏は述べた。「米国ではすでに民間企業や学術機関、地方自治体などをまとめる中間機関を設置し、Webサイトで情報公開や被害者に通知する仕組みが構築されている。日本でも悪意のあるマルウェアを収集し、広く情報を集約して分析する仕組みが必要だ」（伊藤氏）。最後に、関係者は「取り組みは始まっているので、今後さらなる問題解決に向けて最善を尽くす」と約束し、ディスカッションを締めくくった。