セキュリティ企業の米ダンバラ(Damballa)は2008年4月7日、40万台のウイルス(ボット)感染パソコンで構成される、世界最大級のボットネットを確認したと公表。しかし、他のセキュリティ企業や組織は、ボットネットの規模や脅威を誇張している可能性が高いとのコメントを発表している。
ダンバラでは、今回確認したボットネットを「クラーケン(Kraken)」と名付け、メディアなどを通じて、その特徴を公表した。それによれば、クラーケンはおよそ40万台のボット感染パソコンで構成され、世界最大規模。2007年1月以来、世界中で感染を広げている「ストームワーム(Storm Worm)」が構成するボットネットのおよそ2倍の規模であるという。
そして、クラーケンを構成するパソコンに感染しているボット(クラーケンのボット)は、暗号化などのさまざまな“工夫”を凝らすため、現在市場に出ているウイルス対策ソフトの8割は検出できないとしている。
クラーケンの公表を受けて、セキュリティ企業の専門家は、各社の公式ブログなどを通じてコメントを発表している。
例えばセキュリティ組織の米サンズ・インスティチュートは4月7日、クラーケンのボットの検体(サンプル)は未入手だが、ボット感染パソコンへの命令と見られる通信を確認。それによれば、クラーケンのボットは、よく知られているボット「ボバックス(Bobax)」の亜種に似ているという。
その後サンズでは、検体を入手して詳細を解析中。複数の対策ソフトでウイルスチェックできる「Virus Total」で調べたところ、32社の製品中、5社の製品でウイルスとして検出できたという。
米シマンテックが4月8日に公開した情報によれば、詳細についてダンバラに問い合わせたものの回答なし。同社では独自に検体を入手し、新たなウイルスとして登録したものの、既に同社製品では別名で検出可能だったという。
フィンランドのエフ・セキュアも、公式ブログにおいて、セキュリティ企業の多くが「40万台」という数字を不思議に思っているとコメント。サンプルを調べる限りでは、それだけの感染力はないとしている。
同社では、今回のボットを2006年夏に確認済み。目新しいボットではないとしている。その上で、「40万台」という数字は、ダンバラの計測方法に問題があると指摘。同社の計測方法では、このボットに感染したことがあるパソコンの台数が累積的にカウントされてしまうので、現在のボットネットの規模(構成台数)を表していないという。既に駆除済みであっても、ボットネットの1台とされてしまう。
英ソフォスも同様だ。同社でも今回のボットには2008年2月に対応済み。また、8社の対策ソフトで検体をスキャンしたところ、5社の製品で検出できたという。加えて、ダンバラの情報の信頼性についても疑問を投げかけている。ダンバラでは、2008年2月にも、ストームワームの規模を上回る新たなボットネット「メイデイ(Mayday)」を確認したと報告。このときも、複数のセキュリティ企業が懐疑的なコメントを公表。メイデイの真偽は不明なまま、現在に至っている模様だ。
