さて,今回の実態調査に話を戻す。調査では,セキュリティ・ホールの存在するマシンを協力ISPのネットワーク上に設置してわざと感染させ,検体を収集する。この「セキュリティ・ホールの存在するマシン」がハニーポットになるわけだ。ハニーポットには使われていないIPアドレスを割り当てる。割り当てたIPアドレスの数は,「正確な数は話せないが,とても多かったことだけは確か」(小山氏)。口ぶりからは,数台数十台規模ではなさそうだ。

 効率よく検体を収集するには,ハニーポットに割り当てるIPアドレスが多いに超したことはない。ただしIPアドレスの数が多くなると,アドレス一つひとつに実際のマシンを設置することはたいへんな作業になる。感染したボットを収集するのも一苦労だ。そこで,IPアドレスと同じ数のマシンをエミュレートするサーバー(群)を用意し,ハニーポットに割り当てたIPアドレスあてのトラフィックをすべてフォワードするようにした。

 つまり,そのサーバー(群)上で,脆弱なOSをインストールした多数の仮想マシン(VMwareなど)を実行し,それぞれにボットを感染させた。こうすれば,それぞれのISPに多数のマシンを設置する必要はないし,検体の収集も容易になる。小山氏はこのサーバー(群)を「スーパー・ハニーポット」と呼ぶ。「これにより,ハニーポットの実装効率を高められた」(小山氏)。

 ただし問題があった。調査目的の捕獲をまぬがれるために,ボットの中には仮想マシン上では正常に動作しないものが少なくなかった。「今後裏をかかれる恐れがあるので詳細は言えないが,技術的な工夫でこの問題を回避した」(小山氏)。この工夫が,スーパー・ハニーポットの技術の肝の一つだという。

「未知ボットが1日平均70種類」「40台に1台が感染」

 スーパー・ハニーポットによる検体の収集は,4月1日から5月12日までの42日間実施された。この間,ハニーポットに感染したワーム(ボット)は3万1846件(3705種類)にのぼった。検体は,今回の調査に協力したトレンドマイクロが解析した。


 その結果,同社のウイルス対策ソフトで検出できたものが2万8309件(767種類),検出できなかったもの,つまり未知のボットは3537件で2938種類だった。収集した3705種類のうち,実に2938種類が未知のボット(その時点の対策ソフトでは検出できなかったボット)だった。

 IT Proでは,専門家などへの取材結果から,記事中で「ボットは次々と変種が作られるので,対策ソフトで検出できない場合がある」と注意を呼びかけている。今回の調査結果は,専門家の言葉が正しいことを示している。

 また,「今回の調査はネット経由で感染するものに限定したので,メールで感染を広げるボットを含めれば(収集件数や種類は)2倍以上の結果になった可能性がある」(小山氏)。

 収集したボットの動作なども解析した。解析の結果,収集したボットのほとんどが,「RBOT」「POEBOT」「SDBOT」と呼ばれるものの変種だった。RBOTの変種が60%,POEBOTとSDBOTがそれぞれ24%および11%で,合計95%がこれら3種類の変種だった。

 感染に使うセキュリティ・ホールについては,Windowsのセキュリティ・ホール「MS03-026」を突くボットが最も多く31.5%。次いで,「MS04-011」およびファイル共有を利用するものが,それぞれ26.7%および23.7%。「MS03-039」を突くボットが18.1%,「MS04-007」を利用するボットが0.1%だった(複数のセキュリティ・ホールを突くボットが存在するので,トータルは100%を超える)。

 「MS03-026」と「MS04-011」はそれぞれ,2003年8月に出現した「Blaster(MSBlast)」およびが2004年5月の「Sasser」が悪用したセキュリティ・ホールである。BlasterやSasserの流行以降,「MS03-026」や「MS04-011」は,ワームが悪用する“定番”セキュリティ・ホールになっているようだ。余談ではあるが,8月15日以降出現しているワーム(ボット)に悪用されている「MS05-029」も,今後はこの“定番”に加わることが予想される。

 そのほか,検体収集の結果として,「パッチ未適用のマシンをインターネットに接続すると平均4分で感染する」というデータも得られた。Blasterなどが流行した2003年8月には「30秒に1回,Blasterなどの攻撃パケットが飛んでくる」と言われていた(関連記事)。現在では多少マシにはなったものの,依然危険な状態には違いない。未対策マシンをネットにつないで「Windows Update」などを実施したら,パッチを適用する前に感染してしまう可能性が高い。

 調査チームでは,国内ユーザーの何割程度がボットに感染しているのかについても調べた。

 まず,今回収集したボットが,動作時にどのようなトラフィックを発生させるのかを調べ,その“通信特性”をまとめた。そして,調査に協力したISP数社にそのデータを提供し,ボット特有のトラフィックがどの程度発生しているのかを調べてもらった。

 「ここでの調査については,各ISPに任せ,それぞれ独自の手法で分析してもらった。調査チームは分析に関与していない。ユーザーのプライバシと通信の秘密に配慮し,ISPからは結果だけをヒアリングした」(小山氏)。その結果,いずれのISPからも,2~2.5%のマシン(ユーザー)がボットに感染しているとの結論が得られたという。「ブロードバンド・ユーザーが国内で2000万人いるとすると,40~50万人(台)が感染している計算になる」(小山氏)

継続的な調査が必要,ISPの経営者に理解を求める

 今回,有志によって初めてその実態が明らかになった国内のボットネット。ただし,「今回だけで終わっては意味がない。継続的な調査が必要」(小山氏)。というのも,ボットは攻撃者の命令に従って自分自身をバージョンアップする機能(セルフメンテナンス機能)を持っているため,ボットおよびボットネットの特徴や形態が短時間で変化するからだ。ボットのソースコードや開発ツールが公開されているので,機能追加も容易である。時間が経つと,労力をかけて集めた調査データが役に立たなくなり,現状把握が困難になる。

 現状を的確にとらえていないと「ボットネットによる攻撃が発生した際に適切に対処できない。また,有効な対策を施すことが難しくなる」(小山氏)。とはいえ,手弁当で実施した今回のような調査を継続することは,まず不可能だろうという。

 そこで小山氏は,「ISPの経営者に,ボットの調査ならびに対策の重要性を訴えかけていきたい」とする。どのようにコスト負担するかはともかく,多くのユーザー・マシンがボットに感染している現状を認識し,ISP全体が協調して調査や対策に当たらなくてはいけないところまで来ていると,小山氏は強調する。

 「ボットネットはインターネットというインフラの大きな脅威となっている。この脅威に対応するのは,ISPおよびTelecom-ISAC Japanの役目だと考えている」(小山氏)