図7 ユーザーができるボットネット対策<BR>従来のウイルス対策ソフトに加え,パーソナル・ファイアウォール・ソフトを使って不正な通信を監視する。OSに定期的にパッチを当ててボットの侵入口をふさぐことも重要な対策である。
図7 ユーザーができるボットネット対策<BR>従来のウイルス対策ソフトに加え,パーソナル・ファイアウォール・ソフトを使って不正な通信を監視する。OSに定期的にパッチを当ててボットの侵入口をふさぐことも重要な対策である。
[画像のクリックで拡大表示]
[画像のクリックで拡大表示]

ユーザーができる対策は三つ

 ここまでの話を聞いてショックを受けている私を見て,平原マネージャがアドバイスをしてくれた。「ボットに対してユーザーができる対策は三つあります」。それは,(1)既知のボットはウイルス対策ソフトで検出・駆除する,(2)新種のボットはパーソナル・ファイアウォールを使って発見する,(3)パッチを当ててボットの侵入口となるセキュリティ・ホールをふさぐ——というものだ(図7[拡大表示])。

 まず,既知のボットは,ウイルス対策ソフトで検出・駆除する。これは,既存のウイルスやワームの対策と同じである。前述のように新種のボットには対応できないが,ないよりはましである。

新種のボットはパーソナルFWで検出

 新種のボットに対しては,パーソナル・ファイアウォール・ソフトを使う。市販のパーソナル・ファイアウォール・ソフトは,パソコン内のプログラムが外部と通信しようとした際に警告メッセージを表示して,ユーザーにその通信を許可するかを問い合わせるようになっている*。この機能をボットの検出に使うわけだ。

 パソコンがボットに感染すると,ボットのプログラムは,インターネット上のIRCサーバーに通信しようとする。IRCの通信には,TCPの6667番ポートが使われることが多い。したがって,IRCを使っている覚えがないのに6667番ポートあての通信を警告するメッセージが出たら,そのパソコン内でボットが動作している可能性が高いことがわかる。

 またパーソナル・ファイアウォール・ソフトによっては,セキュリティ・ホールを突くパケットを受信したら,警告メッセージを出す機能を持っているものもある。ボットはセキュリティ・ホールを突いて感染するものがほとんどなので,こうした機能を利用すれば攻撃パケットを受信したことがわかる。

 そして,パソコンにパッチを当てておくことも大切な防止策である。セキュリティ・ホールをなくすことは,ボットの侵入口をふさぐことになるからだ。

国も対策に乗り出した

 取材をしていると,「国家レベルでもボット対策に乗り出すらしいですよ」という情報を耳にした。そこで総務省にも行ってみた。

 すると,「今回のTelecom-ISACの調査によってわかった事実を重く受け止めています。そこで,国内ベンダーをまとめ,ボットネット対策に乗り出します」(総務省の情報セキュリティ対策室の高村信(たかむらしん)課長補佐)という。この対策*が本格的に動き出すのは,2006年夏以降になる見込みである。

 自分の管理するパソコンがボットに感染すると,自らが不正行為の手助けをすることになる。すべてのインターネット・ユーザーが,こうした危険性を意識する必要がある。パソコンをインターネットにつなぎっぱなしにしている場合は対策が不可欠だ。