図1 ISPから感染ユーザーに送られるメールのサンプル<br>経済産業省と総務省が12月12日に開催した「ボット対策プロジェクト運営開始式」において,NTTコミュニケーションズの小山覚氏が発表した。
図1 ISPから感染ユーザーに送られるメールのサンプル<br>経済産業省と総務省が12月12日に開催した「ボット対策プロジェクト運営開始式」において,NTTコミュニケーションズの小山覚氏が発表した。
[画像のクリックで拡大表示]
図2 今回のプロジェクトで運営される「一般ユーザー向け啓発サイト」と「ボット感染者向け対策サイト」
図2 今回のプロジェクトで運営される「一般ユーザー向け啓発サイト」と「ボット感染者向け対策サイト」
[画像のクリックで拡大表示]
図3 「ボット駆除ツール」の実行例
図3 「ボット駆除ツール」の実行例
[画像のクリックで拡大表示]
図4 「一般ユーザー向け啓発サイト」(https://www.ccc.go.jp/)
図4 「一般ユーザー向け啓発サイト」(https://www.ccc.go.jp/)
[画像のクリックで拡大表示]
図5 「ボット駆除ツール」の実行時に表示されるダイアログ&lt;br&gt;デジタル署名が付与されていないため「発行元:不明な発行元」となっている。次バージョンではデジタル署名を付与する予定。
図5 「ボット駆除ツール」の実行時に表示されるダイアログ<br>デジタル署名が付与されていないため「発行元:不明な発行元」となっている。次バージョンではデジタル署名を付与する予定。
[画像のクリックで拡大表示]

 経済産業省と総務省は12月12日,官民連携の「ボット対策プロジェクト」を開始したことを発表した。プロジェクトでは,ボットの情報や駆除ツールを用意した専用Webサイトを用意。ボットに感染しているパソコンのユーザーに対して,ユーザーが契約しているISPから個別にメールを送って専用Webサイトに誘導し,駆除や対策を促す。

感染ユーザーを対策サイトへ誘導

 ボットとは,パソコンに感染して,そのパソコンを攻撃者が操れるようにする悪質なプログラムのこと(関連記事:「ボット(bot)」に気をつけろ!)。ボットに感染したパソコンは,スパム(迷惑メール)の送信やフィッシング詐欺,DoS(サービス妨害)攻撃といったさまざまなネット犯罪/悪事の“踏み台”として利用されていて,大きな問題となっている。

 ボットはできるだけ目立たないように動作するため,感染しても気づかないことがほとんど。2005年の調査では,インターネットに接続している国内パソコンの2~2.5%(およそ40万台から50万台)がボットに感染しているという結果が得られている(関連記事:「ボット」の実態をつかめ!)。感染パソコン・ユーザーの多くは,感染していることに気づいていないと考えられる。

 そこで今回のプロジェクトでは,「感染に気づいていないユーザー」に対して,感染していることを個別に通知するとともに,ボットの駆除方法や対策情報を提供し,国内のボット感染パソコンを減少させることを目指す。

 実際にプロジェクトを実施するのは,経済産業省および総務省の委託を受けたTelecom-ISAC Japan,JPCERTコーディネーションセンター(JPCERT/CC),情報処理推進機構(IPA),NTTコミュニケーションズ。そのほか,大手ISP(BIGLOBE,DION,Hi-ho,IIJ,@nifty,OCN,ODN,Yahoo BB)ならびにセキュリティ関連ベンダー(トレンドマイクロ,マイクロソフト,ソースネクスト,マカフィー)が参加する。

 プロジェクトでは,「極めて多数の」(総務省 情報通信政策局 情報セキュリティ対策室 室長の高橋文昭氏)国内ISPのIPアドレスを付与した「ボット捕獲マシン(ハニーポット)」をインターネット上に設置し,ネット上を流れるボットを収集し解析する。

 そして,解析結果から割り出した,ボット感染パソコンの通信特性をプログラム参加ISPに通知。各ISPでは,ボットに感染していると思われるパソコン(IPアドレス)を検出すると,そのパソコンのユーザー(契約者)に対して,ボットの駆除を促すメールを個別に送信する(図1)。

 具体的には,ボット対策プロジェクトの専用サイト「Cyber Clean Center(サイバークリーンセンター)」の「ボット感染者向け対策サイト」に誘導する(図2右)。感染ユーザー向けのページは,(1)ボットの概要を解説した「ボットとは」,(2)無償の駆除ツールや今後の対策方法を提供する「駆除・感染予防しよう」,(3)駆除したことをISPに通知する「完了連絡」――の3段階で構成される。

 同ページに誘導するURLはユーザーごとに変えているので,「どのユーザーがアクセスしたのか,どの段階まで実施したのかをチェックできる」(NTTコミュニケーションズ エンジニアリング部 技術支援部 セキュリティ技術担当 担当部長 小山覚氏)。アクセスしないユーザーや,「完了連絡」をしないユーザーには再度連絡するほか,ページの閲覧を途中で中断したユーザーには,「なぜ中断したのか,どの部分が分かりにくかったかなどをヒアリングして,ページを改善することも考えている」(小山氏)。

 現在公開している駆除ツールは,3000弱のボットおよびウイルスを検出・駆除できる(図3)。この駆除ツールは,参加ベンダーの一社であるトレンドマイクロが提供しているもの。今後,このプロジェクトで収集・解析したボットも検出できるように「機能をアドオンしていく」(小山氏)。

一般ユーザー向けの対策サイトも用意

 Cyber Clean Centerでは,「ボット感染者向け対策サイト」以外に,誰でもアクセスできる「一般ユーザー向け啓発サイト」も用意(図4)。感染者向けサイトと同様に,ボットの解説や駆除手順および駆除ツール,対策方法などを提供している。“盛りだくさん”にすると,本当に必要な情報が分かりにくくなるため,「最低限必要な情報だけを提供するようにした」(小山氏)。

 同サイトの公開は12月12日朝。テレビのニュースで取り上げられたため,同日中は一時アクセスしにくい状況が発生した。小山氏によれば,12日の午後1時までに50万のアクセスがあったという。

 なお,一般公開を開始したものの,同サイトの一部は“試験段階”にあるという。「当初予定していた機能や情報の半分程度しか実装できていない。今後,検証作業を進めながら,実装や改善を進めていく」(小山氏)。例えば,現在配布している駆除ツール(CCC.com)にはデジタル署名が付与されていないために,実行すると「発行元を確認できませんでした」というダイアログが表示される(図5)。2007年1月下旬に公開予定の新しいツールでは,この問題は解消されるという。また,そのほかの機能や情報についても,順次,実装あるいは改善することを予定している。

 今回のボット対策プロジェクトのスキームは,2006年3月に開始した「ANTINNYウイルス対策」プロジェクトとよく似ている(関連記事:ISPが協力して「Winnyウイルス」対策)。実際,3月のプロジェクトは,今回のプロジェクトを念頭に置いたものだったという。「ANTINNYウイルス対策プロジェクトは,今回のプロジェクトの“試験”でもあった。今回は(Winnyを使っていない)すべてのユーザーが対象となるので,大規模になることが予想される」(小山氏)。