米SANS Instituteは12月27日,「ボットネット」を構成するパソコン(ボット感染パソコン)の数が,12月24日に急減した可能性があることを明らかにした。新たに購入されたWindows XP SP2パソコンが,ボット感染パソコンに置き換わったためではないかと推測する。
SANS Instituteのスタッフによれば,12月24日は,クリスマス・プレゼントとして購入された多数の新しいパソコンがインターネットに接続されるため,ボットネットの規模が大きくなることが考えられたという。購入したばかりのパソコンには最新の修正パッチが適用されていないためだ。セキュリティ・ホールを突いて感染するボット(ワーム・タイプのボット)の“餌食”となり,ボットネットの一部に組み込まれる可能性が高いと考えられた。
ところが,インターネット上のボットネットを観測している「ShadowServer」の情報を参照すると,12月24日以降,ボットネットの規模が大幅に縮小している可能性があることが分かった(写真)。このため同スタッフは12月26日,公式ブログにおいて「とても奇妙だ」とし,読者にもそれぞれの観測状況などを尋ねた。
それに対して,ある読者が自身の観測状況とコメントを寄せた。それによると,ボットネットからのものと思われるスキャンは10%以下ではあるが減少していることを確認したという。加えて,ボットネットの規模が縮小している理由を,「新しいパソコンがボット感染パソコンに置き換わったため」と推測する。
新しいパソコンを購入したユーザーは,ボットに感染している古いパソコンをインターネットから切り離す。これにより,ボットネットの規模は縮小する。また,新しいパソコンには最新の修正パッチが適用されていないとしても,そのほとんどはファイアウオール機能がデフォルトで有効なWindows XP SP2を搭載しているので,ネットに接続するだけでボットに感染する可能性は低いと推測。「新しいパソコンの99%は,いまのところ“クリーン”だろう」とみる。
以上の理由により,クリスマス・イブ以降にボットネットが縮小していることは妥当と判断。これについてSANS Instituteのスタッフも「すばらしい解析だ(Great Analysis!)」として,同意している。
しかしながら“クリーン”なのは今だけで,新しいパソコンの利用が進めば,Webやメール経由のボット感染や,新しいアプリケーションのインストールに伴う“侵入口”の拡大により,数週間後には元の状態に戻るだろうと予測する。
