構築も攻撃も容易、ボットは非常に「優れた」システム――Telecom ISACらが警鐘：RSA Conference Japan 2006（1/2 ページ）

[高橋睦美，ITmedia]

　「ボットは非常に『優れた』システム。真剣に作成されており、恐ろしいほど何でもできてしまう。われわれも真剣に対策していかなければならない」――。

　JPCERTコーディネーションセンター（JPCERT/CC）とTelecom-ISAC Japanは4月26日、セキュリティカンファレンス「RSA Conference Japan 2006」において、「ボットネットの過去と現状」と題するセッションを行った。この中でTelecom-ISAC Japan企画調整部副部長の小山覚氏はこのように述べ、冗長化や高い制御能力、自己防御能力を備えつつあるボットネットに対する警鐘を鳴らした。

　自宅や会社のPCに潜り込み、攻撃元（Herder）の指令に基づいてスパムメールの配信やDDoS攻撃を仕掛けるボットネットの危険性は以前から指摘されてきた。

　その機能はますます高度化しているという。「去年はSnifferなどを用いて、攻撃元からボットに送られてくるコマンドの中身を把握することができた。しかし今ではその内容が暗号化、略号化され、ボットネットが見えにくい存在になっている」（小山氏）

　JPCERT/CCの早期警戒グループ情報セキュリティアナリスト、中谷昌幸氏も、「脅威が変化し、どんどん見えにくくなっている」と指摘している。

　現在、ボットネットの大半はIRCサーバに接続し、Herderからの指令を受け付ける仕組みをとっている。しかし近い将来、P2P型接続を用いるボットネットが登場する可能性が高いと指摘されている。「IRCサーバを用いる方式では中央のサーバを止めればいいが、指令系統がP2P化されると対応は困難になる」（中谷氏）

JPCERT/CCの早期警戒グループ情報セキュリティアナリスト、中谷昌幸氏

　その上、大量感染型のウイルス／ワームは定点観測システムによって把握しやすかったのに対し、ボットの活動は潜在化しており、グラフにも現れにくいという。「どのようにボットの活動を補足していくかが課題」（中谷氏）。クライアントだけでなくサーバを狙うボットについても注意が必要だとした。

導入容易なボットネット

　Telecom-ISAC Japanは1年前に、JPCERT/CCなどと共同で国内のボットネットの実態調査を実施。実に、国内のインターネットユーザーの40〜50人に1人がボットに感染している可能性があり、無防備なPCをインターネットに接続すると4分足らずで感染すること、しかもボットの大半は亜種であり、最新のパターンファイルでも検出が困難であることなどを明らかにした（関連記事）。

　Telecom-ISAC Japanではこの調査に続き、今度は「ボットネットでどれだけのことができるのか」を明らかにするため、仮想的に100台規模のボットネットを構築し、挙動や攻撃能力について分析を行った。

　検証環境での「生け簀（いけす）」ボットネットの構築には「Rxbot」というプログラムを用いた。ソースコードはC++で書かれていたという。

　まず、ボットネットの構築がどれだけ容易かだが、「スクリプトキディクラスでも恐ろしいほど簡単に構築できる」（小山氏）という。あらかじめ幾つかのパラメータが用意されており、それらを指定してコンパイルすればすぐに「マイ・ボットネット」ができてしまうほどだという。