IIJ 技術開発本部 プロダクトマネージャの齋藤衛氏
IIJ 技術開発本部 プロダクトマネージャの齋藤衛氏
[画像のクリックで拡大表示]

 インターネットイニシアティブ(IIJ)技術開発本部のプロダクトマネージャである齋藤衛氏は11月16日,同社主催のセミナーにおいて「セキュリティ事情アップデート2006」と題して講演。2006年の代表的なセキュリティ・トピックとしてボットネットなどを取り上げ,その現状と課題について解説した。

 齋藤氏によれば,最近のボットネットは,できるだけ目立たないような仕組みを備えているという。その一つが,ボットネットの規模の縮小。「2004年ごろは数万台規模のボットネットが確認されていたが,規模が大きくなると目立って見つかりやすくなる。そこで最近では,1000台から3000台程度に抑えている」(齋藤氏)。ただ,「これらの台数でも,同時に攻撃を仕掛ければ十分な“威力”がある」(同氏)。規模が小さくなったといっても,被害の面では変わらないという

 「近接伝播」も最近の特徴であるという。別のコンピュータに感染を広げるボットの場合,ランダムに感染先を探すのではなく,現在感染しているマシンの近傍のIPアドレスを持つマシンを狙う。同一ネットワーク内で感染を広げれば,「(ボットのトラフィックが)バックボーンをまたがないのでISPは気づきにくい。(組織やベンダーが運用している)インターネット観測システムにも引っかからない」(齋藤氏)。

 ウイルス対策ソフトに検出されないための“工夫”も凝らす。その一つが,ボット本体をいきなり感染させるのではなく,まずはダウンローダ(別のプログラムをダウンロードして実行するプログラム)をユーザーのマシン上で実行させて,その後にボット本体をインストールさせる。ダウンローダ自体の機能は悪質なものではないので,対策ソフトで検出できない場合があるという。

 Packer(実行ファイル圧縮ソフト)を使って,ボットの挙動を変えることなくプログラム・コード(チェックサム)を改変する手口もよく用いられるという。また,ボットに新しいモジュールをインストールさせて,ボットの“バージョンアップ”を図る手口もある。「1日に3~4回バージョンを変えるボットを確認したこともある。これだけ頻繁にバージョンアップされると,定義ファイルの更新は追いつかないだろう」(齋藤氏)。

 「ハニーポット」に捕捉されることを防ぐ機能を備えるボットもある。ハニーポットとは,攻撃者やボットなどをおびき寄せ,侵入後にどんな行動をとるかを監視・観察するための“囮”システムのこと。わざとボットに感染して,その機能や挙動を探るのである。

 多くの場合ハニーポットでは,仮想マシン上で動作させたゲストOSにボットを感染させる。そこで“ハニーポット回避機能”を持つボットは,自分が感染した環境を調べ,ゲストOSだった場合には自分自身を消去するという。

 また,通常のハニーポットでは,ほかのシステムに迷惑をかけないようにボットなどが送信するアウトバウンド(外向き)の通信を制限する。そこでハニーポットを回避するボットは,「攻撃者のアドレスに対してスパムを“試し撃ち”する」(齋藤氏)。届かなければハニーポットに感染しているとみて,その後の行動を“自粛”するというわけだ。

 「ボット1台あたりの“処理量”も抑えている」(齋藤氏)。具体的には,スパムを送信する場合には1台あたり10通程度,DDoS(分散サービス妨害)攻撃を仕掛ける場合には1Mビット/秒程度にするという。処理量を抑えることで,ユーザーに気づかれないようにする。しかしこの程度であっても,ボットネットを構成するマシンが同時に行えば十分な破壊力を生む。

 「スパムやDDoS攻撃を緩和する“対症療法”はある程度確立している。しかしこれらを根絶するには,“原因療法”――すなわち,これらの原因となるボットネットへの対策――が不可欠だ。(ISPなどの業界団体である)Telecom-ISAC Japanでは調査を続けているが,対策はまだなされていない。ボットネット対策を早急に確立することが,今後の大きな課題だ」(齋藤氏)。