インターネットにつながっているユーザーのパソコンを操り,迷惑メールを送り付けたり攻撃を仕掛けたり——。これが,現在深刻な問題になっている「ボットネット」である。ボット化したパソコンは国内だけで40万~50万台にのぼるという報告もあり,もはや他人事では済まされない。そんなボットネットの正体を探ってみた。
セキュリティ関連団体のセミナーに参加したときのこと。配られた調査報告書を目にして驚いた。それは「ボットネット実態把握プロジェクト調査結果」というもの。そこには,「国内ですでに40万~50万台のパソコンがボット化している」,「新種のボットが1日あたり70種類も出現している」といった,深刻な内容が書かれていたのだ(図1[拡大表示])。
そういえば最近,セキュリティ関連の取材をしていると,必ず「ボット」や「ボットネット」という言葉が出てくる。ボットって何者なのだろうか。というわけで,この実態調査を実施したTelecom-ISAC(テレコムアイザック)*に話を聞きに行った。
無数の「ゾンビ」が動き出す
対応してくれたのは,この実態把握プロジェクトを指揮した企画調整部の小山覚(こやまさとる)副部長。普段の勤務先はNTTコミュニケーションズで,セキュリティに関する業務を担当している。
最初に,「ボットとは何か」を聞いてみた。すると,「ボットとは,クラッカからの命令を受け,その命令に従って動作するプログラムのことです。パソコンの中に潜み,クラッカの命令を受けると動き出します。ボットに感染したパソコンのこともボットと言ったりします」と説明してくれた。突然ムクムクと起き上がって活動するゾンビのようだ*。
さらに聞くと,クラッカはこうしたボットを増やして組織化した「ボットネット」を作るという。ボットネットは,IRCサーバー*とそのIRCサーバーに参加するボット群で構成される。クラッカは,IRCサーバーをボットへ命令を伝えるための手段として使い(詳しくは後述),命令一発で大量のボットを操作するというのだ(図2[拡大表示])。「今,このボットネットが迷惑メールの配信やDoS攻撃*に使われています」(小山副部長)。
すでに40万台超がボット化している
小山副部長には,実態調査の詳細な手法と結果も教えてもらった。
調査は,国内のプロバイダ,セキュリティ・ベンダー,ウイルス対策ソフト・ベンダーが協力して実施した。インターネットを流れる怪しいパケット*をおとりサーバーに誘導して,おとりサーバーをボットに感染させ,ボットのプログラムを採取した。調査期間は,2005年4月1日~5月12日の42日間である。
この結果,おとりサーバーがつかまえた不正プログラムのうち,8割がボットのプログラムだったという。確認できたボット・プログラムの数は3万1846個で,3705種類にのぼった。この3705種類のうち,2938種類が新種のボット*だった。新種のボットが毎日約70種類も出現している計算だ。
また,実態調査に参加したプロバイダから,ボットに感染していると思われるユーザーの割合をヒアリングした結果,いずれのプロバイダからもユーザー全体の2~2.5%がボットに感染しているとの報告が得られたという。国内のブロードバンド回線ユーザーが2000万人だとすると,40万~50万人が感染していることになる。これが調査報告書にあった「すでに国内で40万~50万人がボットに感染している」という根拠である。
< | 目次 | 次回へ | > |