一筋縄ではいかないボット対策（1/2 ページ）

12月6日から9日にかけて行われているInternet Week 2005のプログラムの1つとして「Security Day」が行われた。

[高橋睦美，ITmedia]

　今年も12月6日から9日にかけて、「Internet Week 2005」がパシフィコ横浜で開催された。日本ネットワークインフォメーションセンター（JPNIC）のほか、インターネット協会（IAjapan）、日本インターネットプロバイダー協会（JAIPA）など、インターネットに携わる各種団体主催によるカンファレンスや、ネットワーク技術者向けのチュートリアル、BoFなどが行われている。

　12月8日には日本ネットワークセキュリティ協会（JNSA）、JPCERTコーディネーションセンター（JPCERT/CC）、日本データ通信協会（Telecom-ISAC Japan）の共催で「Security Day ここだけの話 〜あなたはどう考えますか？〜」と題するカンファレンスが行われた。

深刻化するボットの実情

　カンファレンスを締めくくったのは、最近さまざまなレポートで危険性が指摘されている「ボット」「ボットネット」をテーマとしたパネルセッションだ。

　司会進行を務めた歌代和正氏（JPCERT/CC代表理事／Telecom-ISAC Japan理事）は、JPCERT/CCとTelecom-ISAC Japanが共同で実施した「ボットネット実態調査」の大まかな結果を紹介した。この調査は、ネットワーク上にハニーポット（おとりホスト）を設置してボットの実態を探るものだが、その結果は「大変なことになっている」（歌代氏）

　すなわち、1日当たり約80種類ものボットが発見され、パッチを適用していない脆弱なPCをインターネットに接続すると、わずか4分程度でボットに感染する。また、ボットへの感染率は2〜2.5％（40〜50人に1人）であり、ブロードバンドユーザーの数から考えると、国内だけで実に40〜50万人がボットに感染していることになるという。

　トレンドマイクロの小屋晋吾氏も、ボットの被害が深刻化している実態を報告した。いわゆるウイルス／ワームの感染報告数がむしろ減少傾向にあるのと対照的に、ボットの数や種類は増加する一方だという。2005年1月〜9月までの届出数ワースト10を集計したところ、1位はRbot、3位はSdbot、また7位にはAgobotが入るという状況だ。

　小屋氏はさらに「企業からの報告も2004年上半期から急増している。企業から寄せられる感染報告の9％はボットという状況だ」と述べ、企業イントラネットにも一定数のボットが侵入している事実を指摘した。

　またTelecom-ISAC Japanの小山覚氏は、ボットはネットワークに与える負荷（パワー）と巧妙さの両面で非常に危険な存在になっていると述べた。例えば、既に報じられているとおり、P2P型ファイル交換ソフト「Winny」で感染するワーム型ウイルス「Antinny」の場合、実験的に攻撃力を測定したところ700Mbpsを超えるトラフィックが押し寄せた。

　巧妙さも増している。自身を見つからないようにする仕組みを備えるほか、不特定多数を狙う「マスメール型」から一点狙いの「スピア型」が登場しており、非常に危険な状態になりつつあると小山氏は述べた。「敵は愉快犯じゃない。真剣になっている。見えない敵との戦いが始まっている」（同氏）

　小山氏は「観測の結果、多いときには1日に150種類以上の亜種が登場しており、どれだけ検知パターンを新しくしておこうと検知できないものがこれだけある」と述べた。

　また、ボットやそれが引き起こす被害を防ぐためにISP側が打ってきた対策は、ことごとく裏をかかれつつあるという。例えば、ボットが利用するポートは固定ではなくランダムになっており、ISPの伝家の宝刀であるポートブロックの有効性は薄い。また、スパムメールの流量制限をかいくぐるため、送信間隔を空けてメールを送り出す仕組みが実装されているという。

　JPCERT/CCの伊藤友里恵氏によると、ボットネットの検出を受け、インシデントレポートがいくつか上がってきている状況だ。しかし、いざ対応しようとしても、そもそも「ボットネットへの対処に最低限必要な情報は何なのかについて、国際的にコンセンサスが取れていない状況」だという。

　ユーザーに対処を促すべく通知をする段階でもさまざまな課題がある。まず、1つのボットネットを構成するPCは大量にあるため、通知／レスポンスを行うだけでも手間がかかる。また、ボットの潜在化に伴い「ユーザーに感染している実感がなくなる」ことから、調査に手間がかかる。その上、新種のボットの場合、OSを再インストールするほかに対処法がないケースもあるが、その際に再度感染しないよう適切な方法を取る必要があるが、これは一般の家庭ユーザーにとってはハードルの高い作業だ。

対策はあるのか？

　このようにさまざまな課題が浮上しているボットだが、対処方法はあるのか。インターネット セキュリティ システムズの高橋正和氏は、2つの観点から対策を述べた。

　1つは、PCやサーバ、ネットワークそれぞれで、ボットの「感染」「活動の検知」「攻撃の検知」、それに「攻撃の抑止」を図るというアプローチだ。「ボット作成のためのキットが出回っており、簡単に亜種が作成できる状況だ。こうなると、監視やログの検査といった手段を通じてボットのIRC通信を検知するしかない」（高橋氏）。

　一方で、ボットの存在を踏まえた上で、その脅威を軽減する総合的な方策として、攻撃を受けたときの対処策を検討しておくほか、基本的なセキュリティ対策を通じてボットの感染を防止したり、実態の調査に取り組んでいくことも必要とした。