ボットネット研究で知られるNTTコミュニケーションズの小山覚氏。小山氏が2006年4月の「RSA Conference 2006」で行ったボットネットの仕組みを解き明かす講演は,大きな話題を呼んだ(関連記事:「ボットネットを“飼って”みました」,Telecom-ISAC Japan)。小山氏らはインターネット上にハニーポット(マルウエアによる攻撃をおびき寄せるわな)を設けて継続してボットネットの現状を観察している。

 小山氏は「ボットネットはますます『ビジネス』に特化して,仕組みが高度化している」と指摘する。また「昨年秋から,日本語のスパム・メールがボットを使って送信されるケースが増えた」と言う。小山氏にボットネットの現状を聞いた(聞き手は中田 敦=ITpro)。



小山さんも参加されているTelecom-ISAC Japan(国内の通信事業者やISPで構成するセキュリティ組織)は昨年,ハニーポットを使って,ボットネットの仕組みを詳しく調査していました。今も,ボットネットの解析は続けているのですか?

 
  小山覚氏 NTTコミュニケーションズ 企画戦略部門 部門長
 はい。ボットネットに関しては調査を進めるだけでなく,駆除にも取り組んでいます。2006年12月からは総務省と経済産業省の共同プロジェクト「サイバークリーンセンター」のWebサイトを開設し,ボットに感染しているユーザーに対してISP経由で注意を喚起し,「サイバークリーンセンターにボットを駆除できるツールがあるから,適用して下さい」と呼びかけ始めています。

 これらの取り組みを進める中で,いくつかのことが分かりました。

 私がボットに注目しだしたのは2005年のことですが,当時日本では,ボットという言葉も定着していなくて「ゾンビ」などとも言われていました。その頃のボットの特徴は,高機能なものが多かったことです。ソースコードもアカデミックな感じで,「みんなでボットのソースコードを共有しよう」という機運がありました。いわゆる「ハッカー」が,数千台,数万台のパソコンを遠隔操作するために作ったのが「ボット」だったわけです。

 ところが現在は,そうやって編み出された「IRCボット」が,完全にビジネスに悪用されるようになりました。ビジネス化する中で,使われるボットも高機能なものから,単機能なものに変化しつつあります。

 最近流行しているボットの場合,パソコンがボットに感染してから,大量のスパム・メールを送信するようになるまで10分しかかかりません。スパム・メール送信業者は,ボットをばらまくクラッカーに対価を払って「スパム送信ツール」を入手し,クラッカーが構築したボットネットを利用して,大量のスパム・メールを送信しています。ボットを使ったスパム送信が,とてもシステマチックに運用されているわけです。スパム送信業者は,クラッカーが提供する「オンデマンド・ボット」を利用して,スパム・メール送信に専念しているのです。

「日本は大丈夫」は誤解

2月に米国サンフランシスコで開催された「RSA Conference 2007」でも,色んな方が「ボットネットはビジネス目的で運用されている」と指摘していました。またボットを使ったビジネスも,カジノ・サイトなどに対するDDoS(分散サービス妨害)攻撃から,スパム送信に移ったと言われています。

ただ,RSA Conference 2007でも,スパムの送信元としては,米国やフランス,スペイン,ブラジル,ポーランドなどの名前は挙がっていましたが,日本はあまり聞きませんでした。日本人としては,これは喜ばしいことだと思っているのですが…

 その認識は甘いですね。

 ボットネットに限りませんが,ネットワーク・セキュリティの研究は自然科学みたいなもので,「あなたが観測している世界が,世界の全てですか?」という疑問が付きまといます。

 つまり,ボットの観測は「ため池」の観測みたいなものなのです。あなたが観測した「ため池」にフナしかいないからといって,別の「ため池」もそうだとは限らない。別の「ため池」にはメダカがいるかもしれないのです。

 ワームのようなマルウエアは,全世界中に感染する傾向があります。それに対してボットは,広域な感染が見られないのが特徴です。ボットの感染傾向は,IPアドレスの範囲にかなり依存しています。

 実は,ハニーポットを設置したISPによって,捕獲できるボットの種類にかなり違いが出ています。ボットをばらまこうとする「ボッター」が,特定のIPアドレスの範囲を狙っているということも理由として挙げられますし,ボット自体が感染を他に広げる際に,近接するIPアドレスしか狙っていないという理由も挙げられます。

つまり「スパム送信元として日本の名前をあまり聞かないから,日本ではボットがあまり広まっていない」と考えるのは誤りなのですね。

 「日本は大丈夫」と思っていると,「Blaster」ワームの亜種だった「Nachi」や「Welchia」の二の舞になるでしょう。NachiやWelchiaは,米国ではほとんど騒がれませんでしたが,日本に大変な被害をもたらしました。

マイクロソフトは,「悪意のあるツールの削除プログラム」をMicrosoft UpdateやOSの自動更新機能で配布して,どんなマルウエアが削除されたか,統計を取っています。マイクロソフトの情報に基づいて,ITproも2006年6月に「MSの「ウイルス削除ツール」,今までに駆除したウイルスは1600万件」というニュースを報道しています。サイバークリーンセンターでも,統計を取っていますか?

 ユーザーからのフィードバックは頂いています。ただ,システマチックに統計を取るようなことはまだしていません。実は,2007年度の取り組みとして,サイバークリーンセンターで配布するツールに,どのようなマルウエアが何件駆除されたか,ユーザーから送信できるようにする機能を追加しようと検討しています。

サイバークリーンセンターのユーザーからは,どのようなフィードバックがありましたか。

 ボットネットに感染していた方は,皆一様に「気づいていなかった」と言われますね。

 またボットネットの駆除を始めて,こちらが気づいたこともあります。サイバークリーンセンターでツールをダウンロードしてすぐにパソコンをスキャンした人と,ダウンロードしてしばらく経ってからパソコンをスキャンした人とでは,ボットの駆除率に違いが出ているようなのです。

 現在サイバークリーンセンターが配布しているツールは,定義ファイルの内容を1週間に1度更新しています。そのため,定義ファイルの更新から時間が経つと,すぐに駆除率が下がる傾向があるのです。それだけボットが素早く進化しているのだと思います。

定義ファイルの更新頻度が1週間に1回なのはどうしてですか?

 色々なバランスがあってのことなのですが,ユーザーに「サイバークリーンセンターでチェックをしておけば,セキュリティは大丈夫」という意識を持ってもらいたくないという理由もあります。

システマチックにスパム・メールを送信するボット