一筋縄ではいかないボット対策（2/2 ページ）

[高橋睦美，ITmedia]

　また小屋氏は「種類から言うと7割が新種、すなわち未知のボット。ただし攻撃の量から言えば8割は既知のもの」とした上で、「パターンマッチングではボットの新種すべてを検出していくには無理がある。もっと総合的な対策が必要」と述べた。

　小山氏は、Telecom-ISAC Japanが実施してきた「もぐら叩き作戦」について紹介した。Antinnyに感染したPCを突き止め、メールを通じて対処を依頼するという方法だが「数千通のメールを送って、反応が返ってきたのは数％」（同氏）。そこで、Microsoftと協力し、同社の「悪意のあるソフトウェアの削除ツール」（MRT）でAntinnyに対応するという方策を取った。この結果、攻撃の40％が減少することになった。

　小山氏はさらに、あくまで1つの考え方として、ISPとしての別の対処策も紹介した。ユーザーからのDNSの問い合わせをチェックし、ボットネットやウイルスがアクセスするURLに該当する場合は注意を呼び掛けたり、通信自体を遮断してしまうというアプローチだ。

　しかし、この対策を今すぐ実現できるかというと、法的側面も含め、まだ検討が必要という。というのも、下手に対策を取ると、「いたずらに事態を進行させる恐れがあるから」（小山氏）。ボットが対抗策を講じてP2P技術や暗号を用いたりすると、動きがさらに潜伏化し、発見できなくなってしまう可能性があるという。

　小山氏は後の質疑応答の中で、ユーザーへの通知に必要となるコストについても触れた。「いくら電子メールで通知しても、読まない人は読まない。そこで実際には、郵便で通知したり、それでもダメなら内容証明郵便を出す、という取り組みもやっている。しかし、こうした作業には膨大なコストが掛かってしまう」（同氏）。対処を促す取り組みを継続的に行うためには、費用負担についても検討していく必要があるとした。

イントラネットへの侵入も

　小山氏はまた、イントラネット内に潜り込んでいるボットの存在についても注意を喚起した。

　例えば10月には、外務省職員を装ったウイルスが登場した。ウイルス自体は、「Embed.a」というファイルを作成するだけの、危険性の少ないものとされていたが、小山氏がそのファイルの正体を探っていくと、実質はバックドアツールであり、ボットと変わらない活動をすることが分かった。

　その上で、「今回のウイルスは、たまたまイントラネットへの侵入には失敗したようだが、イントラネットの実態を熟知している人が同じようなことを仕掛けてきたらどうなるだろうかと考えるとぞっとする」と小山氏。特定の組織を狙ったスピア型のボットの侵入を防ぐには、内部から外に出て行く通信がユーザー自身によるものか、不正なソフトによるものかを見極める必要があるという。

　そのように考えていくと「水際作戦が間に合わない以上、ネットワークで何が起きていたかを事後分析し、事実を解明するネットワークフォレンジックが大切になるのでは」と小山氏は述べた。

　また高橋氏は、「過去のウイルスもいろんな機能を備えていたが、ボットはそれをコントロールする手段を提供している点で異なる」と指摘。コントロール可能であるゆえに、過去のワームのように大暴れする必要はない。その結果、大きな事件が起きにくくなり、目に見える被害が少なくなるため、対策の予算が付きにくくなる可能性があるとした。

　また、ボットへの対策は「どこか1カ所で何とかできるという話ではなく、みんなで協力してやっていく必要がある」（小屋氏）、「いろいろなスキルを持った『ボットファイター』が集まって連携しないと対応しきれない」（伊藤氏）と、各組織、各プレイヤーがそれぞれ協力し合って対策に取り組むことの重要性も強調された。