ボットネットをテーマとするカンファレンスHotBotsが,米国時間4月10日にマサチューセッツ州ボストンで開催された。規模は比較的小さいが,全米の学校から相当な数の研究者が集まり,ボットについて意見を交わした。短いプレゼンテーション11件と公開討論会1件に加え,いくつもの研究進捗報告が行われた。PtoPネットワークにおけるボットネットの将来,ボットネットの規模計測に関する問題と手法,ボットネット研究者にかかわる法的な問題,いくつかの特定のボットについての詳細解析など,ボットに関するあらゆる話題が取り上げられた。
特に印象に残った一つ目の話題は,関係者が「ボットの主流は,現在も単純なインターネット・チャットによるボット(IRCボット)である」と何度も繰り返し指摘したことだ。ボットを監視している人々によると,暗号対応ボット,カスタムIRCコマンドを使うボット,PtoPを使うボットなど先進的なものは合わせても10%に満たなかったという。なぜか。ボットを高機能化する必要性はないのだろうか。対策をちょっと強化する程度では,ほとんどボットの歯止めにはならない。だから,新たな技術を探して習得するための投資には価値がないのである。それならなぜ,IRCトラフィック・フィルタリングが普及しないのか。消費者は,大多数のボットをネットワークから締め出す努力を続けるISPに対価を支払うのだろうか。
印象に残った二つ目の話題は,ボットネット研究者が犯しかねないリスクについての話題だった。この内容には驚かされると同時に誇りを抱いた。ボットネットの研究者たちには,顧客とネットワークを守るためだとしても,できることとできないことがある。我々のプライバシーを守ろうとすれば,悪人のプライバシーまで保護してしまうし,研究者が悪人の尻尾をつかもうとして制約を破れば,悪人たちとその仲間全員(さらにその黒幕)の逆鱗に触れかねない。それどころか,犯罪捜査の証拠を損なうと,政府からもにらまれてしまう。証拠が損なわれて捜査に支障を来した外国政府とも衝突するかもしれない。犯人の身柄を引き渡すことで,本国よりも重い処罰を下せる可能性があるからだ。
この話題で誇りを抱いた部分は,制約が存在し,危険な状況になりつつあるのに,こうした問題の答えを熱心に探し求めている人々のコミュニティが拡大を続けていることだ。その広がりは,今やセキュリティ業界という枠を越えた。我々は押し寄せるマルウエアとの戦いを続け,影響を小さくしようと努力している。著者はコミュニティの一員でいることを楽しんでおり,コミュニティによるHotBotsのような場が拡大し続ければよいと思う。問題に取り組む人が増えれば,いつの日かマルウエアの流れを止めることができるかもしれないから。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「Hello from HotBots‘07」でお読みいただけます。
