ボット対策、最後に頼りになるのは……年末緊急特番!ボットネット対策のすすめ(1/2 ページ)

11月に開催された「Email Security Conference 2006」において、Telecom-ISAC Japanの企画調整部副部長小山覚氏が、2006年版のボットの動向について語った。

» 2006年12月07日 10時45分 公開
[高橋睦美,ITmedia]

本記事の関連コンテンツは「年末緊急特番!ボットネット対策のすすめ」でご覧になれます。


 「今のインターネットはまさに、交通戦争前夜の状態。汚れたインターネットをきれいにしていくには、皆の協力が必要だ」――11月28日、29日に渡って都内で開催された「Email Security Conference 2006」において、Telecom-ISAC Japanの企画調整部副部長を務める小山覚氏(NTTコミュニケーションズ)はこのように述べ、深刻化しているボット問題へのユーザー側の対策を求めた。

 これまでTelecom-ISAC Japanでは、JPCERTコーディネーションセンター(JPCERT/CC)やいくつかのベンダーと協力し、ボットおよびボットネットの分析、実態調査に取り組んできた。ボットのプログラムそのものの解析やハニーポットによる実態調査、さらにはボットネットの「飼育」やユーザーに対する対処依頼に至るまで、その活動は幅広い(関連記事)

 その中で、「ボットでは基本的に、情報漏洩にせよ攻撃にせよ何でもできてしまうこと」「亜種が多く、既存のウイルス対策ソフトに頼りきりにはできないこと」「ボットネットは自らを守るセキュリティ対策の面でも冗長化の面でも、非常によく考えられた作りになっていること」など、いくつかの知見が得られてきた。いずれにせよ、少しでも長く、少しでも効率的に金儲けに活用(悪用)するため、ボットには自分自身を守り、隠蔽するためのさまざまな工夫が凝らされている。「相手は真剣だ」(小山氏)

進む単機能化、自動化

 Telecom-ISAC Japanでは2006年2月から5月にかけて、NTT ComのOCN部隊の協力を得て、仮想ネットワークにおけるボット/ボットネットの活動の長期観測を行ったという。観測に用いられたボット検体の総数は約15万個。ちなみに、ウイルス対策ソフトでどの程度検出できたかを見ると、84.5%は「未知」という状況で、2005年の79.3%とほぼ同水準だった。

 これら検体がIRCサーバに接続した数を基に算出したボットネットの総数は1358種類。接続後、約2割のボットはそのまま何も行わないが、78.92%は自分自身を更新するなど何らかの追加動作を行った。具体的には、キーロガーの追加(44.7%)、ボットプログラムの更新(40.0%)、スパム送信のためのプロキシプログラム追加(15.3%)といった具合だ。

elecom-ISAC Japanの企画調整部副部長、小山覚氏は「ロハスな生活でインターネットの生活習慣病を脱し、きれいな状態にしていこう」と呼び掛ける

 「ボットそれ自体は、カセットの刺さっていないファミコンのようなもの。追加プログラムを取りに行き、指令サーバに接続することで、ボットネットががっつり完成する」(小山氏)

 特に2005年と大きく変わったのは、スパム送信メカニズムの部分だ。ボットの用途をスパム転送に限定し、機能を絞ることにより、「メカニズムがほとんど自動化されている」(小山氏)という。

 この検証によると、ボットがPCに感染し、指令を下すC&C(Command&Control)サーバにアクセスし、指定のサイトからプロキシサーバをダウンロードし、スパム送信可能な状態に至るまで、一連の動作に要する時間はほんの10秒程度。さらにプロキシの動作確認を行い、実際に送信開始指令が下されるまでを見ても、わずか3〜4分だという。こうして、脆弱なPCを悪用してスパム送信のためのインフラが形成されていることが改めて確認できた。

通信状況から検出を図れる可能性も?

 さらに、ボットがどんなサーバと何を「話す」かを見極めるため、ボットに対し一種の「拷問」「尋問」も行ってみたという。具体的には、IRCサーバのほかWeb、DNS、NTPといった各種サーバを用意し、各ボットが2分間、自由に通信できる環境を用意し、どういった通信が行われるかを観察した。

 約9000検体に対して検証を行ったところ、サーバに対し何らかの応答を行ったのは2689件。最も多いのはDNS(2402検体)で、次にIRC(2184検体)、HTTP(308検体)という順序だ。たいていの「話し相手」は1つのサーバだけだが、まれにBobax.AKのように十数カ所と通信を行うボットも見られたという。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.