経済産業省と総務省は2006年12月12日、JPCERT コーディネーションセンター(JPCERT/CC)、日本データ通信協会テレコム・アイザック推進会議(Telecom-ISAC Japan)などと協力して「ボット」に対する対策プロジェクトを開始したと発表した。今後5年間の予定で、家庭ユーザー向けにボットに関する情報提供と無償での駆除ツール配布を実施する。
ボットとは不正プログラムの一種。ネットワーク経由で受け取った外部からの命令に従って、感染コンピューターを操るプログラムを指す。JPCERT/CCは、国内でのインターネットセキュリティに関する事件・事象(インターネットセキュリティインシデント)の報告の受け付け、手口の分析、対策の検討、企業や各種団体に対する支援活動などを実施する組織。Telecom-ISAC Japanは国内の通信事業者などを中心に形成されており、通信インフラのセキュリティ向上のための活動などを行う団体である。ISPとしては@nifty、BIGLOBE、DION、hi-ho、OCN、ODN、Yahoo! BB、インターネットイニシアティブの8社が参加している。
このプロジェクトではISPからボットに感染したユーザーにメールで警告を発し、対策を促す。具体的な手順は以下のようになる。
(1)NTTコミュニケーションズなどがおとりとなるシステム(ハニーポット)を構築。Telecom-ISAC Japanがそのシステムを運用し、ボットのサンプルを収集・保存する。
(2)集めた検体をTelecom-ISAC Japan、JPCERT/CCなどで解析する。
(3)解析結果から感染したパソコンのIPアドレスを割り出し、感染IPのリストを該当するISPに連絡。さらにトレンドマイクロの協力を得て、解析結果を基にボットの駆除ツールを作成する。
(4)ISPからボットに感染したパソコンのユーザーに対して通知メールを送信。メール上のURLからボット対策専用のポータルサイト「サイバークリーンセンター(Cyber Clean Center)」の「ボット感染者向け対策サイト」に誘導し、ボットの概要の説明をするとともに駆除ツールの適用を促す。
感染ユーザーへのメール通知は、まず2006年12月15日と2007年1月25日が予定されている。1つのISP当たり100件程度のIPアドレスに対して試験的に実施する。2007年2月以降に本格運用を開始する見通しであり、本格運用開始後は、1週間に1回の頻度で、1つのISP当たり1000件以上のIPアドレスへの通知を行う方針という。
サイバークリーンセンターでは、感染ユーザーだけでなく一般ユーザー向けの情報も提供する。ボットの概要、駆除手順、感染予防のための知識のほか、駆除ツールも配布されている。現在公開中の駆除ツールでは、3000弱のボットの検出・駆除に対応しているという。なお、この駆除ツールには現段階ではデジタル署名がないため、ダブルクリックして実行すると「発行元を確認できませんでした」とセキュリティの警告が表示されてしまう。次回のリリース時にはデジタル署名が付与される見通しだ。一般ユーザー向けのサイトは12月12日より、ボット感染者向け対策サイトは12月15日よりオープンの予定。
そのほか、情報処理推進機構(IPA)経由で、収集したサンプルの情報をソースネクスト、トレンドマイクロ、マイクロソフト、マカフィーといったウイルス対策ソフトウエアを提供する各社と共有する。これは対策ソフトが不正プログラムを検出するためのパターンファイル(定義ファイル)に、最新のボットの情報をいち早く追加するためである。
