「現時点では、ピアツーピア(P2P)の通信を使って攻撃命令を伝えるボット、いわゆる『P2Pボット』は存在しない。今後作られる可能性も低い」。セキュリティベンダーであるラックの先端技術開発部部長を務める新井悠氏は2007年6月21日、報道陣向けの説明会において、ボットの現状などを解説した。
ボットは、インターネット経由で攻撃者からの命令を受け、迷惑メールの送信やDDoS攻撃などを行う悪質なプログラム(ウイルス)のこと。攻撃者からの命令は、C&C(コマンド・アンド・コントロール)サーバーと呼ばれるコンピューターを介して、IRCなどを使って、ボット感染パソコンに送られる。
これにより、複数のボット感染パソコンに、一斉に同じ動作をさせることができるので、攻撃などの“効果”を高めることができる(同じ動作をするボット感染パソコン群をボットネットと呼ぶ)。
半面、(攻撃者にとって)弱点もある。C&Cサーバーをつぶされると、ボットネットに命令を送れなくなってしまう。もちろん、攻撃者はさまざまな対策を用意している。その一つが、C&Cサーバーを使わずに命令を受け取れるようにする「P2Pボット」とされていた。
P2P通信を使うファイル共有ソフト「Winny(ウィニー)」などと同じように、P2Pボットはサーバーを必要としない。攻撃者から命令を送られたボット感染パソコンは、別のボット感染パソコンへその命令を伝達する。それを繰り返すことで、ボットネット全体に命令が伝わる。
2006年5月に出現した「Nugache(ヌガチェ)」や、2007年1月以降に大流行した「Peacomm(ピーコム)」は、一部のセキュリティベンダーや報道において、P2Pボットの一種だとされていた。後者は、「Storm Worm(ストームワーム)」とも呼ばれる。また、以前実施したボット調査の際、「Agobot(アゴボット)」と呼ばれるボットの亜種には、P2P通信の機能を持つものが見受けられたという。
そこで新井氏は、JPCERT/CCの協力で、上記3種を詳細に分析した。その結果、いずれも(厳密な意味では)P2Pボットとは呼べないことが判明したという。
まずAgobotの亜種については、P2Pで命令を伝えるプログラムは実装されていたものの、伝えられる相手(ノード)はわずか40で、しかも、実際には動作しなかったという。「試作に過ぎなかったと考えられる」(新井氏)。
Nugacheについては、通常のIRCボットだった。また、Peacommについては、P2Pファイル共有ソフト「eDonkey(イードンキー)」と同じプロトコルを使ってP2P通信を行う機能を備えていたものの、命令伝達用ではなかった。P2P通信は、追加モジュールをダウンロードして自分自身を“アップデート”するためにのみ使用される。このため、厳密な意味でのP2Pボットではない。
以上のように、現時点では(厳密な意味での)P2Pボットは存在しないという。今後についてはどうか。「既存のP2Pファイル共有ネットワーク(例えばWinnyネットワーク)を使って命令伝達できるという(攻撃者側の)メリットがあるものの、一方で、ファイアウオールなどで通信を遮断される可能性が高いというデメリットがある。攻撃者にとっては、デメリットの方が大きいため、P2Pボットが積極的に作られる可能性が小さいだろう」(新井氏)。
P2Pボットよりも新井氏が懸念するのは、「自己隠ぺい機能の高度化」と「HTTPボット」。前述のPeacommには、自分自身を(ユーザーや対策ソフトなどから)隠すための機能が高度化されて洗練されていたという。「同様の手口は2例しか確認されていない。こういった手口が一般的に使われるようになったら脅威だ」(新井氏)。
また、HTTPやHTTPSで通信を行うボットにも要注意だとする。多くの企業/組織では、Webアクセス(外向きのHTTP通信)を許可している。このため、ファイアウオールではHTTPボットの通信を防げない。「HTTPボットは検体が少ないため、実態がつかめていない。実態把握が急務だ」(新井氏)。
- JPCERT/CCの発表資料「P2P型ボット分析レポート」(PDFファイル)
