「ターゲット化」するボット、対策はあるのか？：年末緊急特番！ボットネット対策のすすめ（1/2 ページ）

12月7日に開催された「Security Day 2006」では、ボットネットの現状と対策に関するパネルディスカッションが行われた。

[高橋睦美，ITmedia]

本記事の関連コンテンツは「年末緊急特番！ボットネット対策のすすめ」でご覧になれます。

　ボットの実態はどうなっているのか、またその対策は――12月5日から8日に行われた「Internet Week 2006」の一環として、12月7日に「Security Day 2006」が開催された。このうち「〜徹底討論〜ボットネット第3弾〜いよいよ動き出したボットネット対策の全貌〜」と題するパネルディスカッションでは、マイクロソフトのチーフセキュリティアドバイザー、高橋正和氏が司会となり、参加各氏から国内におけるボットの現況と対策に向けた取り組みが示された。

企業内に思いのほか忍び込んでいる？

　高橋氏は冒頭、過去のSecurity Dayやカンファレンスなどでも紹介されてきたボットの蔓延状況に触れた。

　例えば、ボットによるトラフィックは1つのIPアドレス当たり0.3Kbpsに上り、感染率はユーザーの2〜2.5％。つまり、40〜50人に1人はボットに感染している計算だ。また、パッチを適用していない未対策のPCがインターネットに接続されるとわずか4分程度でボットに感染する。しかも、1日に80種類以上の亜種が発見されており、たとえ最新のウイルス定義ファイルにアップデートしていても検出が困難な状態だ（関連記事）。

　ボットネット全体の「しぶとさ」にも注目すべきという。複数のIRCチャネルやドメイン名、ときにはダイナミックDNSを活用して動作し、簡単にはダウンさせることができない（関連記事）。こうして構築されたボットが、まさにフィッシング詐欺やID詐取のために利用されている。

　そもそもボットとはPCに感染した後、指令者の命令に応じてさまざまなところからモジュールをダウンロードし、自らの振る舞いを変えていく。「ウイルスでもあり、ワームでもあり、スパムもばらまく……動作や形態に応じていろんな呼び方ができるだろう」と高橋氏は述べた。

　同氏は中でも、ターゲット型攻撃との連携について注意を促した。「電子メールの添付ファイルの実行という形だけでなく、脆弱性を悪用して感染し、どこかのホストにつないでプログラムを落としてくる。特に今年は、Microsoft Officeだけでなく、一太郎という日本特有のソフトウェアが悪用されていることに非常にショックを受けた」（同氏）。

　こうした手口によって企業ネットワークにボットが持ち込まれると、ファイアウォールで外からの攻撃をブロックしているだけでは不十分だ。しかし、内側からの通信を制限しているケースは比較的少ないことから、ボット作者にとってはいろいろ悪用できるという利点がある。これを踏まえて高橋氏は、「思いのほか、（ボットが社内に）忍び込んでいるのでは」と警鐘を鳴らした。

オンデマンドで利用できるボットネット

　続いて、ISPの立場から登壇した小山覚氏（NTTコミュニケーションズ第二法人営業本部エンジニアリング部企画戦略部門部門長）は、ボットとスパムメールの関係について言及した。

　多くのボットの挙動を見ると、ボット化したPCから単純にスパムメールを発信するのではなく、プロキシとして動作している。つまり、メールの「リダイレクタ」となって動いていることが判明してきたという。

　ハニーポットなどを通してその動きを検証してみると「スパム自動送信ツールのようなものがあるに違いないという状況が見えてきた」と小山氏は述べた。

　しかも、感染してからスパム送信システムと化すまでの動きは素早い。ボットが命令を発するIRCサーバに接続し、プログラムをダウンロードして「プロキシ」となるまではほんの1分。コマンドによる動作確認までで3〜4分。最初に指令が届いてから10分後には、もうスパムが外に配信され始めるという。「これほどシステマティックな状況になっている」（小山氏）

　この結果、多い日は1つのボット当たり1日10万通ものスパムメールを転送する状況だという。

　「（ボットネットによるスパム配信の仕組みは）ビジネス用に完成されたと言われているが、その通りだと思う。むしろ最近では、どちらかというとオンデマンドビジネス化してきた。脆弱なPCは世の中に腐るほどある。スパムを送信したいと考えたときに、そのニーズに応じて脆弱なPCをプロキシ化して送信しているのでは」と述べ、根本的な対策として、脆弱なPCのセキュリティレベルを上げていかなければならないと述べた。

対策側の「悩み」

　また、トレンドマイクロのサポートサービス本部、プレミアムサポートセンタースーパーバイザーの平原伸昭氏が、常に新たな亜種に悩まされるウイルス対策ソフトベンダーの立場からコメントした。

　特に最近の傾向として、「汎用型ボットから特定向けのボットへという傾向が見られている。ちょうど半導体で言うディスクリートからASICへという変化のように、特定の団体、特定の企業向けにカスタマイズされている」と平原氏は述べ、ターゲット化されたトロイの木馬がはやっていると指摘した。2005年後半から2006年にかけて、同社が把握しているだけで100種類以上の「ターゲット型」トロイの木馬が報告されているという。

　中には、2006年秋に登場した「Stration」のように「帰ってきたマスメール型」と称されるワームも登場している。しかしこれも挙動を見ると、数時間でアップデートを繰り返し、攻撃を繰り返す仕掛けのトロイの木馬。つまり、どんどん新しいファイルをダウンロードすることにより「ターゲット化、スピア化」する仕掛けだ。

　そのうえ、ボットプログラム本体の解析／検出も、難読化／隠蔽化手法の高度化によって困難になってきている。こうした状況を踏まえ、検出手法の改善を進めるとともに、「情報が集まりにくくなっているので、業界全体の連携が重要になってくる」と平原氏は述べた。