ユーザーのパソコンをリモート操作する不正プログラム「ボット」による被害が広がっている。2006年5月に英ソフォスが、1日に約1800万通もの迷惑メールを送信していた人物が韓国で逮捕されたと報じた。この人物は約1万6000台のパソコンにボットを仕込み、迷惑メールを送信させていたという。133カ国のユーザーが6カ月にわたり、ローン情報などに関する迷惑メールの被害を受けた。このように、多数のボット感染パソコンを一元的に操作できるように組織化したものを「ボットネット」と呼ぶ。
ボットの被害は迷惑メールだけではない。例えば米国で2005年11月、数十万台のパソコンからなるボットネットを悪用して、不正にアフィリエイト収入を得ていたなどの疑いで逮捕者が出た。この人物は、構築済みのボットネットを第三者に売りさばくことでも利益を得ていた。被害額は6万ドル以上。売られたボットネットは迷惑メール送信や、特定のWebサイトにアクセスを集中させて使用不可能にする(DDoS)攻撃などに使われた疑いがある。
「不正プログラムを作成する動機が趣味から金もうけに変わっている」(セキュアブレイン副社長山村元昭氏)と、セキュリティベンダー各社は口をそろえる。以前は、自己顕示欲などから不正プログラムの作成・配布それ自体を目的とする作者が多かった。だが冒頭の事例からも分かるように、最近は感染したパソコンを犯罪のプロが運用し、金銭的利益を得ることに目的が変化したというのだ(図1)。
 |
| 図1●インターネット犯罪のインフラとなるボットネット ボットは「ボットネット」として組織化され、迷惑メールの送信やWebサイトへの攻撃など、インターネット犯罪のインフラとなる。海外ではボットネットの悪用による逮捕者も多い [画像のクリックで拡大表示] |
40~50台に1台が感染
感染の事実をユーザーに知られてしまうと、攻撃者は金銭獲得という目的を達することができない。そのため、ボットはひそかに活動し、知らないうちに被害に遭うユーザーが多い。企業向けのセキュリティ監視センター「JSOC」を運営するラックによると「JSOCのサービスを受けている約300社の中だけでも1カ月に約4件はボットの感染事例がある」(SNS事業本部セキュリティプランニングサービス部担当部長新井悠氏)。
セキュリティに関する情報収集などを行うJPCERTコーディネーションセンターと、日本データ通信協会Telecom-ISAC Japanなどが2005年4 月にボットの実態を調査した。その結果、「国内のパソコンの40~50台に1台が感染している疑いがある」(Telecom-ISAC Japan 企画調整部副部長小山覚氏)。
また、2005年1月から2006年3月の期間に、マイクロソフトの「悪意のあるソフトウェアの削除ツール」(http://www.microsoft.com/japan/security/malwareremove/)で駆除された不正プログラム上位5位のうち1~2位と4位がボットだった(図2)。ボットネットの広まりをうかがわせる。
 |
| 図2●「悪意のあるソフトウェアの削除ツール」で駆除された不正プログラム(駆除数順) 同ツールはMicrosoft Update(Windows Update)やWindowsの自動更新で配布される。Webサイトでの実行も可能(右)。上の表は不正プログラムの駆除時に、マイクロソフトに送信される匿名データを集計した結果だ [画像のクリックで拡大表示] |
では、具体的な挙動や対策の解説に入る前に、次章でどんなプログラムをボットと呼ぶか理解しておこう。
