犯罪ビジネス化するボットネット：年末緊急特番！ボットネット対策のすすめ（1/2 ページ）

JPCERT/CC理事の真鍋敬士氏が、11月に開催された「Network Security Forum 2006」において講演。ボットを用いたオンライン犯罪がビジネスとして確立しつつある現状に警鐘を鳴らした。

[高橋睦美，ITmedia]

本記事の関連コンテンツは「年末緊急特番！ボットネット対策のすすめ」でご覧になれます。

　JPCERTコーディネーションセンター（JPCERT/CC）理事の真鍋敬士氏は、11月に開催されたセキュリティカンファレンス「Network Security Forum 2006」において「ボットネットに見る脅威の変化と今後の対応」というタイトルで講演。ボットを用いたオンライン犯罪がビジネスとして確立しつつある現状に警鐘を鳴らした。

　真鍋氏によると、ウイルスに代表される従来型の脅威とボットとの間には、いくつか大きな違いがある。ウイルスは、自分自身の行動を目立たせる一方で、そのソースコードはあまり出回っていない。

　これに対しボットの場合は「比較的ソースコードが出回っており、中にはGUIでカスタマイズ可能なものまである」（真鍋氏）。一種のオープンソースソフトウェアであり、ちょっとした改造でどんどん亜種を作ることが可能だ。この結果、「アンチウイルスソフトウェアの対応を遅らせることになる」（同氏）。また、ソースが入手可能なことから、特定の相手だけを攻撃するためのボットを簡単に作ることができ、ターゲット型攻撃の温床にもなっている。

　その上「バックドアや情報収集、攻撃、自己防衛機能など、これまでのマルウェアが持っていた機能を複合的に兼ね備えている」と真鍋氏。ワームのように自らを拡散させる機能もあるけれど、むしろPCの中に潜んで命令を待ち、長く使える（悪用できる）状態にすることを狙っている。その意味で「マルウェアは本格的な実用段階に入ってきた」と同氏は述べた。

　「ボットによって、アンダーグラウンドビジネス化が大きく拡大している。スパムをばらまくというビジネスは昔からあったが、当初は攻撃行為そのものを販売していた。しかし最近では、ボットネットという攻撃するための『環境』が商品になっている。しかもその価格はそれほど高くない」（真鍋氏）

　背景には、たびたび指摘されていることだが、攻撃の狙いの変化があるという。

　以前は、DoS攻撃に代表されるとおり、ネットワークインフラそのものが攻撃の対象となっていた。しかし今では、その上にある個人情報や機密情報、財産といった「資産」そのものが狙われている。

　「オンラインの攻撃は、過去のようにバーチャルな世界に閉じたものではなく、現実世界の犯罪と密接に関わっている。今や、現実社会そのものがターゲットになっている」（真鍋氏）

ボットが用いる「テクニック」

　マルウェアにもいろいろな流行があった。数年前は、BlasterやSlammerのようにわっと広がるワームタイプが大流行したが、そのうち、ただ暴れるだけではもの足りず、バックドアのように遠隔から操作可能なものが登場してきた。ボットネットはさらに、ある意味では堅牢な分散システムを実現しており、まさに「攻撃のツール」として活用されている。

　そのコントロールに用いられるテクノロジーを見ると、今はIRCが主流だ。しかし「メッシュ型P2Pを通じてコントロールし、一台の指令サーバに依存しないような仕組みも登場している。こうしたものが出てくると対応がかなり難しくなる」（真鍋氏）。ITの世界でトレンドとなっている仮想技術の応用も考えられるという。

　一方、PCへの侵入や感染に用いられる技術を見ると、脆弱性を狙ったり、辞書攻撃を用いたり、あるいはほかのマルウェアに便乗するなどほとんどが従来どおりだ。昔からあるもう1つの手法がソーシャルエンジニアリングで、代表的なケースでは、知り合いからのメールを装って添付ファイルなどを開かせようとする。

　「この添付ファイルを開くと、ダウンローダー（一種のインストーラー）に感染する。とはいっても、ファイルを開いた直後には何も起こらないため、ユーザー側はただのメールと勘違いしてしまう。しかし実際には、これを通じてバックエンドで本体が送られてきてボット化してしまう」（真鍋氏）。これが、組織内の情報漏洩や他者を攻撃する温床になってしまうという。