[画像のクリックで拡大表示]

 「2003年に出現した『Blaster』のようなワーム(ネットワーク・ウイルス)の時代は終わった。今後は,ボットのように検出しにくい脅威が全盛になるだろう。攻撃の“モデル”が変わったためだ」。米Internet Security Systems(ISS) CTO(Chief Technology Officer)のChris Rouland氏は,米国時間2月13日から2月17日まで開催されている「RSA Conference 2006」において,IT Proの取材に対し,セキュリティの現状や同社の取り組みについて語った。

 冒頭の言葉のように,急速に感染を広げて多くのPCに被害を与えるようなワームの全盛期は終わったとする。「以前とは異なり,攻撃者は利益を求めるようになった。ワームはユーザーに被害を与えるだけで,攻撃者には利益をもたらさない。このため,ボットのようなマルウエア(悪質なプログラム)へシフトしている」(Rouland氏)。ボットネット(複数のボットで構成される仮想的なネットワーク)はスパム送信やフィッシング詐欺などに悪用できるので“ビジネス”になる。

 「この変化は,昨年出現した『Zotob』によって改めて示された。Zotobは一見,典型的なワームのように感染を広げるが,ボットの“機能”も持っていた。Zotobが感染したPCは,攻撃者によって自由に操られてしまう」(Rouland氏)

 とはいえ,ワームが“全滅”したわけではないという。「現在でも新たなワームは出現しているし,古いワームの中には,まだ生き残っているものもある。例えば,2003年に出現した『Slammer』は,今でもネット上で見つかる。すごい“長生き”だ」(Rouland氏)。

 ボットは,ユーザーに見つからないように“工夫”を凝らしている。このため,感染PCのユーザーが気づくことは難しい。ボットを撲滅する鍵の一つとしてRouland氏が注目するのは,DNSサーバーである。ボットネットは,DNSサーバーへアクセスして“マスター(攻撃命令を出すIRCサーバー)”と通信する。そこで,「DNSサーバーを観測して,ボットネットの振る舞いを調べる」(同氏)。それにより,ボットネットへ指令を出しているマスターを探し出して,「そのマスターを“殺す(kill)”」(同氏)。

 ボットネットのマスターは,ダイナミックDNSを使う場合が多い。このため,特定することが難しい。フィッシング目的の偽サイトについても同様である。そこで,「ダイナミックDNSを使っている場合でも(マスターやフィッシング・サイトの)現在のIPアドレスを追跡できるようなアルゴリズムの研究に,私自身が取り組んでいる」(Rouland氏)。同氏は現在,ジョージア工科大学と共同で研究しており,近いうちに論文を発表する予定であるという。「このアルゴリズムを使えば,ダイナミックDNSサーバーをモニタリングすることで,ボットネット(のマスター)やフィッシング・サイトを高い精度で突き止められるようになる」(同氏)