「ボットネット」とは,「ボット」と呼ばれるマルウエアが構成するネットワークの総称である。ボットは,2002年から「SDBOT」や「AGOBOT」といった名称でアンチウイルス・ベンダーのシグネチャ(ウイルス定義ファイル,パターンファイル)に登場している[注1]。
注1)「『マルウエア』総まとめ~その特徴と分類方法~」
これまでは注目されることが少なかったが,2005年ごろからは国内においても取り上げられる機会が増えている。ただ,技術的な内容に焦点が当てられることが多く,実際の被害,すなわち,ボットネットが関与したとされる事件が伝えられることは比較的少ないように思う。
そこで今回は,今までに報道されたボットネットに関する事件をいくつか紹介したい[注2]。なお,これらは筆者が調べた範囲のものであり,報道された事件すべてを網羅しているわけではないことをお断りしておく。
注2)本稿で紹介した内容は,「Interop Tokyo 2006」の「徹底検証:BOTネット対策2006--ボットネット脅威の変移--」において,パネラーとして取り上げる予定である。
ボットネットによるDDoS攻撃
ボットネットに関する事件として最初に報道されたのは,米Microsoftのサイトを狙ったDDoS(分散サービス妨害)攻撃だろう[注3]。2003年8月,DDoS攻撃によってmicrosoft.comのサイトが停止させられた。
注3)「Microsoft.com falls to DOS attack」
この事件においては,攻撃元のIPアドレスが世界中に分散していたため,「Zombie(ゾンビ)」ネットワーク[注4]による攻撃である可能性が示唆されるとともに,FBI(米連邦捜査局)が捜査したと伝えられた。そして事件の3年後,この攻撃はボットネットを使ったDDoS攻撃だったことが報じられた[注5]。
注4)マルウエアの一種である「DDoS Zombie」で構成された仮想的なネットワークのこと。DDoS Zombieについては,「『マルウエア』総まとめ~その特徴と分類方法~」を参照のこと。
注5)「14-year-old 'downed Microsoft homepage for four hours'」
microsoft.comを狙った攻撃のわずか3カ月後の2003年11月,今度は「WorldPay」がDDoS攻撃の被害に遭った。この攻撃により,同社サイトへのアクセスが困難な状況が3日間続いた[注6][注7]。
注6)「WorldPay floored by malicious attack」
注7)「WorldPay recovers from massive attack」
この事件では,セキュリティ専門家の分析として,「Stacheldraht」や「Trin00」などのDDoS Zombie[注4]が使われたと伝えられたが,筆者はボットネットによるものだったと考えている(もっとも,厳密に区別することに意味はない。両者が混同されることは多く,ボットネットは「Zombie Cluster」や「Zombie Army」と呼ばれることもある)。
この事件に限らず,大規模なDDoS攻撃にDDoS Zombieを使用するケースはほとんどないと思う。少なくとも,筆者が知る限りでは存在しない。前出の記事[注6][注7]では,2000年に発生したYahoo!に対するDDoS攻撃でもDDoS Zombieが使用されたとしているが,筆者が調べた範囲では,この攻撃は「Smurf Amp」と呼ばれる手法を使ったもので,DDoS Zombieは使われていないと考えている。
実際の攻撃にDDoS Zombieが使われないのは,Zombie(DDoS Zombieが稼働するマシン)を必要台数確保することが難しいためではないだろうか。筆者の知る限り,DDoS Zombieと呼ばれているものには自己増殖の機能はなく,基本的に手作業でZombieを増やす必要がある。また,DDoS Zombieの多くはUNIX系システムで動作する。このため,大規模なDDoS攻撃を可能にするほどのZombieを確保することは至難のわざと言える。
2004年に入ると,6月にはコンテンツ配信サービス(CDS)の「Akamai」が,7月にはインターネット広告配信サービスの「DoubleCLick」がDDoS攻撃を受けた[注8][注9]。
注8)「米Akamai,主要サイトの障害は『特定顧客を狙った高度なDoS攻撃が原因』と報告」
注9)「Internet Attack Targets DoubleClick」
Akamaiの事件では,同社のシステムを利用しているApple ComputerやGoogle,Microsoft,Yahoo!といったメジャーなサイトが,およそ2時間にわたってほとんどアクセスできない状態になった。
この事件で注目すべきは,WebサーバーではなくDNSサーバーに対して攻撃がおこなわれた点である。Akamaiは,世界中に設置したサーバーと高速ネットワークを組み合わせて,高速なコンテンツ配信を可能にしている。コンテンツの配信には非常に広い帯域を確保しているので,Webサーバーをターゲットとした場合には,DDoS攻撃が成功する可能性は低かっただろう。
一方DNSサーバーについては,やり取りするデータの量は比較的少ないため,割り当てていたリソース(ネットワーク資源)は少なかったと考えられる。DNSサーバーからの応答が得られない場合,結果としてWebサーバーへアクセスできなくなるため,WebサーバーへのDDoS攻撃と同じ“効果”をもたらすことができる。なお,AkamaiのDNSの実装に問題があり,これが攻撃を成功させた一因となっているとの指摘もある[注10]。
注10)「『米人気サイトでアクセス障害』,その真相は?」
DoubleCLickに対するDDoS攻撃でも,DNSサーバーが狙われた。この事件では,DoubleCLickのサイトにアクセスできなくなっただけではなく,DoubleCLickの広告を表示している多数のWebサイト---Washington PostやNortel Networks,Gateway,MCI,CNN.com,Schwab.comなど---において,Webページを表示できなくなった。このためこれらのサイトでは,DoubleCLickの広告をはずすことでトラブルに対応した。DoubleCLickはこの間の収入が得られなかっただけではなく,契約サイトに多大な迷惑をかけたことから,相当の損害があったものと推測される。
