ボットプログラムには、感染を広める機能、自分自身が削除されないようにする機能が備わっている。
小山氏によると、ボット本体を実行しても、すぐに本体がインストールされるわけではない。まず確かめるのは、VMWareなどの仮想ソフトウェアの有無やOSがデバッグモードになっていないかどうかといった事柄だ。ハニーポットなどにつかまり、自らの挙動が解析されることのないよう、こうした環境では自分自身を削除する仕組みが備わっているという。また、ウイルス対策ソフトが導入されていれば、Hostsファイルを書き換えて、定義ファイルの更新を阻止するといった動作も行う。
こうしてどこか1台に「種」となるボットができると、その近傍IPアドレスがスキャンされ、脆弱性を悪用するなどして感染が広まる。そしてこれらが、プログラム中に指定されたIRCサーバに接続することで、ボットネットのできあがりとなる。
ボットネットの作者同士が勢力を争い、互いに乗っ取りあう動きも報告されている。このプログラムの場合、IRCサーバに接続するためのパスワードに加え、指令を下すにはもう1つのパスワードが必要となっており「それ以外の命令は受け付けないようになっていた」(小山氏)
こうして作成されたボットネットは、いかなる命令でも実行可能という。DDoS攻撃の能力については、感染したマシンの能力の限界まで悪用できることがわかった。
スパムメールの送信については「スパマーが喜ぶ機能が実装されており、よくできた『ソリューション』になっている」という。例えば、ボットが直接スパムメールを送信するのではなく、ランダムなポートを用いてリダイレクトを行うため、ISP側で実装が進みつつあるOutbound Port25 Blockingといった対策は有効性を失う。配送のペースも1秒間に数通というゆっくりしたペースで行われるため、流量制限もかいくぐられるという。
また、ボットネットが「時間貸し」されていることの証左として、時間帯や間隔などを指定することも可能だという。
さらにボットには、感染したPCのIPアドレスや各種設定などさまざまな情報を収集する機能やキーロガーとしての機能があるほか、感染PCをサーバ化して外部に公開させることまで可能という。この点、「話題になっているWinnyよりもボットのほうが深刻だ。Winnyの場合は漏えいした事実がつかめるが、ボットの場合は感染した事実、漏えいした事実に気づかない可能性が高い」(小山氏)。
小山氏によると、残念ながらボットネットを停止に追い込むのも困難だという。
攻撃元であるHerderを追跡するのは困難だ。そこで、指令を下すIRCサーバを停止に追い込んだとしても、ボットネットにはあらかじめ「冗長化」の機能が組み込まれており、プライマリのIRCサーバが停止すると、すぐに別のバックアップIRCサーバが立ち上がり、ボットネットが回復するという。
こうした事態に備えてか、ボットには感染したマシンやネットワークのパフォーマンスを計測する機能があるという。あらかじめ性能を調査し、高速に通信できるマシンを選んでおいて、問題が起こるとすぐにIRCサーバに「昇格」できるような仕組みだ。
今のところ、「ボットネット対策に特効薬はない」(小山氏)。PCやサーバの脆弱性を地道に潰し、ユーザーに対する注意を喚起していくしかないと同氏は締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.