「指令者からのコマンドの受信機能を実装する狭義のP2P型ボットネットは存在しなかった」。こんなレポートをJPCERT/CC(コーディネーションセンター)が6月21日に発表した。
ネットワーク上の多数のウイルス感染コンピュータ(ボット)が特定のコンピュータを攻撃するボットネットにおいて、P2P型ネットワークを用いる「P2P型ボットネット」が今後脅威になるかもしれないと、一部の研究者が指摘していた。通常のボットネットは、チャット用のIRCサーバーを利用し、ネットワーク上のボットに対して一斉に攻撃命令を出す。そこで、その実態がどうなっているのかを探ろうというのが今回のJPCERT/CCの調査である。
実際に分析を行ったのは、ラック 先端技術開発部の新井悠氏である。調査方法は、一般にP2P型ボットネットといわれているAgobot、W32.Nugache.A@mm、Trojan.Peacomについて解析した。ソースコードにP2P型通信がみられたAgobotについては、ソースコードの詳細な解析を実施した。
Agobotについては、P2Pによる指揮統制メカニズムについては試作にすぎず、動作しないこと、W32.Nugache.A@mmについてはIRC型ボットネットを形成すること、Trojan.Peacom については、P2Pを追加モジュールのダウンロードに用いることは認められたものの、指揮統制機能は認められなかったという。米国では、自己更新にP2Pを使うボットも、P2P型ボットと呼ぶケースもあるという。
今後、P2P型ボットネットが登場する可能性については、「ファイアウォールによるアウトバウンド通信制御などの対策による効能低下のデメリットが生まれる」という理由から、「P2P型ボットが脅威になるとは考えにくい」と結論付けた。
新井氏は、P2P型とは別の脅威として指摘される、HTTPやHTTPSを指揮統制として利用する通信の実態把握については未知であり、注意する必要があるとも付け加えた。
