最近のボットネットの現状を教えて下さい。
先ほど「ボットは感染後10分で,スパム・メールの送信を始める」と言いましたが,詳細を説明しましょう。
まずボットはパソコンへの感染に成功すると,IRCチャネルに参加して,ボットをばらまいた人物(ハーダー)から命令をもらいます。それは「別のIRCチャネルにつなぎ直せ」という命令です。つまり,「感染報告系」のIRCチャネルと,「指示伝達系」のIRCチャネルが別になっています。
次にボットは,プロキシ動作確認サイトのアドレスをハーダーからもらい,スパム・メール送信に使用する「メール・リレー・プログラム」をダウンロードします。ここまでの作業が,感染してから10秒で完了します。
プロキシ動作確認サイトに接続したボットは,SMTPの「HELO」コマンドを送信できるかテストをします。そのボットが「スパムを送信できる環境かどうか」をチェックしているのです。スパム送信が可能だと確認ができたら,ボットはスパム送信確認サイトに対して,メールを1通送信します。これが完了して初めて「スパム・メール送信ツール」がダウンロードされます。
ボットがダウンロードするスパム送信ツールとは,スパム送信者が利用するツールと連携するプログラムです。スパム送信者が使うツールは,スパム送信に利用できる中継ホストのリストが自動更新されるようになっています。スパム送信者は非常に手軽に,スパムの大量送信ができるようになっているのです。
こうして,スパム・メールの送信が始まります。ここまでにかかる時間が10分です。
ずいぶんと確認作業が多いのですね。
確認作業を何重にも設けることで,われわれのような「ハニーポット」を回避しているのでしょう。
ボットをばらまいている人間は,自分達が解析されることを警戒している,と。
われわれのハニーポットは,「外からのメールは受け取れるが,外にはスパム・メールを送信できない」という環境で運用しています。しかし,スパム送信の確認メールだけは外に送れるようにしておかないと,ボットの動作を検証できません。確認メール1通だけを送信できる仕組みを作るには,苦労しました。
われわれが長期観測用にハニーポットで運用しているボットには,スパム・メールが山のように飛んで来ます。これはメディアの人には初めて教えますが,2つの中継ホストに対して,毎秒4000通のスパム・メールが送られてきたこともありました。
つまり,毎秒4000通ものスパム・メールを送ろうとしているスパム送信者がいるのですね。
昨年の今頃は,日本語のスパム・メールがハニーポットにほとんど送られてきませんでした。しかし今は,送られてくるスパム・メールの半数が日本語になっています。日本語のスパムを送りたいスパム送信者が,ボットを使い出した。これが2006年秋以降の傾向です。
ボットを使ったスパム・メールの大量送信を防ぐためには,どうすればいいものでしょうか?
もう,原始的な対策しか残っていません。ISPが25番ポートをふさいだところで,ボットがユーザーのアカウントを乗っ取って,ISPのメール・サーバーを使い出したら,メール送信は防げません。
「ユーザーが1日に出せるメールを1000通に制限する」といった規制をしないと,ボットによるスパム・メールの大量送信は防げないでしょう。「送信者認証」などの仕組みも,ボットを使えばすべてすり抜けられるからです。
小山氏らは現在,ボットネット以外に「Winnyネットワーク」の調査も始めている。小山氏は現在のWinnyネットワークを,「何らかの意図を持った人間が,ウイルスをばらまいている『真っ黒』な状態」と語る。Winnyネットワークで何が起きているのか,次回のインタビュー「Winnyネットワークはやっぱり真っ黒,NTTコミュニケーションズの小山氏に聞く」(4月19日公開予定)で,詳細をお伝えしよう。
