ボット対策、最後に頼りになるのは……：年末緊急特番！ボットネット対策のすすめ（2/2 ページ）

[高橋睦美，ITmedia]

　興味深いのは、それぞれ別のサーバにアクセスするわけではなく、異なるマルウェアでも同じHTTPサーバ、同じIRCサーバを見に行っているケースがある点だ。「おそらく同じ作者、あるいは同じコミュニティによるものでは」（小山氏）。ただ、だからといって通信相手のサーバを閉鎖しても、また別のサーバに逃げられだけで根本的な解決にならないのが難しい部分だという。

　同時に、参照されるIRCサーバの生存期間についても調べてみたところ、寿命は平均73.5日。中には300〜400日にもわたって生き延びる「ご長寿」サーバもいた。

　「ボットというのは自分自身を隠そうとする。しかし、インターネットにいる以上はIPで通信を行うわけであり、分析していけばその活動を見る方法は何がしかある」（小山氏）とし、こうした通信状況の把握がボットの検出と対策にとって有効となる可能性を示唆した。

自己防衛機能を逆手に取る

　ボットの中には、自分自身を守り、解析されないようにするため、仮想環境やデバッグ環境を検出すると動作を停止させる自己防衛機能を持っているものがある。この機能を逆手に取り、デバッガや仮想環境があるように見せかけることで、ボットへの感染を阻害できないかという取り組みも行ったという。

　検証では、IsDebuggerPresent APIを活用し、あたかもデバッガがあるかのように見せかけてボットの動きがどう変動するかを見た。全6378種類の検体のうち、21％に当たる1320種類は10秒以内に動作が終了した。さらに、動作が終了したボットの挙動を見ると、IsDebuggerPresentを呼び出したものは101種類（1.6％）という結果だった。

　数字だけを見れば「少ない」ようにも思える。しかし「一言付け加えるだけで101種類のボットを落とせるならば、ある程度有効と言えるのではないか」と小山氏。この仕組みを応用することによって、ある程度の対策が実現できるのではないかとした。

　ただ、この方向性を追求しても、ボット作者との間で「いたちごっこ」になってきりがないのも事実。やはり根本的な対策は、脆弱なPCを1つひとつ減らしていくことしかないという。

特効薬は存在しない

　小山氏はセッションの中で何度か、「ボタンを押せば『ぽちっ』とボットが消えてしまうような特効薬はない」と指摘。地道に脆弱性をつぶしていくことが必要だとした。

　ボット作者側は、ウイルス対策ソフトで検出されないことを確認してからボットを世に放っている。このため、たとえ最新の状態にしていても、ウイルス対策ソフトだけでは多くのボットは検知できない。しかも最近のPCの性能向上により、潜んでいるボットがスパム送信やDoS攻撃などを行っていても、なかなかそれに気付けなくなっている。小山氏は「きっと皆さんのPCの中にも入り込んでいるだろう」という。

　「去年までのボットの定義とは異なり、自己増殖しないボットやrootkitを搭載して自分を隠すボットなども出てきている。今や、ウイルス対策ソフトは頼りにならない。最後に頼りになるのは人間。ユーザーのリテラシー向上が必要だ」（同氏）。特に、標的を絞ったターゲット型攻撃／スピア型攻撃には、リテラシー向上が最も重要だとした。

　同時に、ボットに感染していてもその事実に気付いていない人々に対してそのことを知らせ、PC利用の「生活習慣」を変えてもらう呼び掛けも進めていくという。

　Telecom-ISAC Japanではすでに、マイクロソフトおよびトレンドマイクロと協力し、Antinny感染者に対して駆除ツールを提供したり、注意喚起メールを送信するといった取り組みを行ってきた。これにより、確かに一定の効果は得られたという。しかし、いったんは感染者数が減っても、その後またじわじわと復活してしまう傾向も見られる。

　小山氏は、ISPにとってコストのかかる作業であり、しかもローテクなやり方ではあるが、今後も注意喚起をメディアなどと連携して実施していきたいと述べた。また、どうしても関連してくる「違法コンテンツのファイル交換を抑制する取り組み」も並行して取り組みたいという。