2004年後半以降,インターネットの脅威の一つとして「ボット」および「ボットネット」が取り上げられるようになっている(関連記事)。
ボットとは,悪質なプログラム(malware)の一種。ユーザーに気付かれないようにマシン上で動作し,攻撃者の思い通りにそのマシンを操れるようにするプログラムである(関連記事)。
そして,複数のボットで構成されたネットワークを「ボットネット」と呼ぶ。攻撃者はボットネットに対して,例えば「特定サイトへDoS(サービス妨害)攻撃を仕掛けろ」という命令を送れば,ボットネットを構成するすべてのボット感染マシン(ボットに感染したマシンは「ゾンビ」などとも呼ばれる)から攻撃パケットが送信される。
ボットネットはスパム(迷惑メール)送信の踏み台に使われる場合もある。米MX LogicのScott Chasin最高技術責任者によると,スパム送信用のボットネットは1時間あたり200~300米ドルで貸し出されているという(関連記事)。ボットネットはビジネスになっているのだ。スパム送信だけではなく,DoS攻撃をちらつかせた“インターネット恐喝”に使われる場合もある(関連記事 )。
以上のように,その脅威が伝えられるボットおよびボットネット。個々のボットの特徴については,アンチウイルス・ベンダーなどが随時解析して公表しているが,インターネット上での感染状況などについては,きちんと調べられていないのが現状だ。「どのぐらいの種類が実際に“流通”しているのか」「国内ではどの程度のマシンーがボットに感染しているのか」---といった定量的なデータは存在しなかった。
そこで,Telecom-ISAC JapanやJPCERTコーディネーションセンター(JPCERT/CC),国内のISPやセキュリティ・ベンダー数社が協力して,ボットネットの実態把握に乗り出した。Telecom-ISAC Japanとは,通信インフラの安全性確保を目的の一つとして発足した,国内の通信事業者/ISPで構成される組織である。
国内初の取り組みであるボットネットの実態調査はどのように実施されたのか。そして,どういった結果が得られたのか---。中心人物の一人,Telecom-ISAC Japanの企画調整部副部長であり,NTTコミュニケーションズエンジニアリング部セキュリティサービス担当部門長の小山覚氏への取材と,同氏による講演内容(関連記事)を基にまとめた。
「Sobig.F」がボットの先駆け
ボットがメディアに大きく取り上げられるようになったのは,2005年になってから。しかしながら小山氏によると,ISPなどの運用現場では2003年8月ぐらいから,「今までとは性質の異なる悪質プログラムが現れている」という認識が広がり始めたという。きっかけは「Sobig.F」ウイルスだった(関連記事)。当時はボットという言葉はなかったが,「Sobig.Fは今で言うボットだった」(小山氏)。
メールで感染を広げるSobig.Fは,スパム送信用のボットネットを構築し,攻撃者の命令に従ってスパム・メールを配信するような“機能”を備えている(関連記事)。特定のサイトにアクセスして,自分自身をアップデートする機能もある。まさしく,ボットの性質を持ったウイルスだった。
Sobig.Fが出現したのは,悪名高き「Blaster」ワームが出現した直後である。Blasterは“派手”に感染を広げたために話題になったが,Sobig.Fの挙動は気付かれにくいものだったため,それほど騒がれることはなかった。だが,それがSobig.Fの“作戦”だった。Sobig.Fの出現を境に,悪質なプログラムの多くが「ユーザーに見つからないように感染し続ける傾向に変わった」(小山氏)。感染マシンを長期間悪用できるようにするためである。
そして2004年春,ボットネット問題が表面化した。ボットネットが大量のエラー・メールを発生させて「大手ISPのほとんどに影響を与えた」(小山氏)ためだ。このとき問題になったボットネットは,ランダムに作成したメール・アドレスあてに大量のスパムを送信した。いわゆる“総当り”である。実在するアドレスへはスパムが届くが,それ以外の(大多数の)存在しないアドレスへのスパムについては,その送信者アドレスへエラー・メールが返送された。
スパムの送信者アドレスは偽装されていたので,偽装されたアドレスのドメイン(ISP)へエラー・メールが送られた。このエラー・メールがあまりに大量だったため,そして,複数のISPのアドレスが送信者アドレスに使われたため,影響は大きかったという。
ISPが状況を調べると,スパムを送信しているマシン(IPアドレス)の数が数百~数千であり,従来のスパム送信とは明らかに異なったという。そこでTelecom-ISAC Japanが詳細に調査したところ,ボットネットを使ったスパム送信である可能性が高いとの結論に至った。
この騒ぎによって,ボットネットがインターネットの新たな脅威であることが明らかになった。しかしながら,「ISPが知りたいようなボットネットに関する情報は存在しなかった」(小山氏)。
そこでTelecom-ISAC Japanではボットネットに関する独自調査を進め,2005年1月,JPCERTコーディネーションセンター(JPCERT/CC)と共同で本格的な実態調査に取り掛かった。国内のセキュリティ・ベンダー数社も協力した。なおこの調査は「参加メンバーがそれぞれコストを負担した」(小山氏)という言葉にあるように,ほとんど“有志”によるボランティアだったという。
「スーパー・ハニーポット」で検体収集
実態調査の主目的は,(1)「ハニーポット」と呼ばれるおとりのマシンを使って出回っているボットの“検体”を収集し,それらの特徴(挙動)を解析する,(2)ボットが発生させるトラフィックの特徴などをISP数社へ知らせ,どの程度のユーザー・マシンにボットが感染しているのかを調べてもらう---の2点。
今回の調査対象は,ネットワーク経由で感染を広げるワーム(ネットワーク型ウイルス)タイプのボットに限定したという。8月15日以降確認されているWindowsのセキュリティ・ホールを突く「Zotob」や「Bozori」などは,このタイプに分類される(関連記事)。前述のSobig.Fのように,主にメールを使って感染を広げるボットは除外する。
ここで,混乱がないように用語(言葉)を少し整理する。人やベンダー/組織によって定義が異なるので異論もあるだろうが,以下はこの記事ならびに筆者の定義だと考えていただきたい。まず,ユーザーに被害をもたらす(ユーザーが意図しない挙動をする)プログラム全般を「悪質なプログラム(malware)」あるいは「(広義の)ウイルス」と呼ぶ。
「(狭義の)ウイルス」「ワーム」「トロイの木馬」といった呼び名は,悪質なプログラムを,その感染手法の違いで分類したもの。ウイルスは,メール添付といった従来のからの手法で感染を広げる。ワームは,セキュリティ・ホールなどを突いてネットワーク経由で感染を広げる。トロイの木馬は自分で感染を広げることはない。有用なプログラムあるいは無害のプログラムを装って,ユーザー自身にコピーあるいはダウンロードさせて感染を広げる。
一方「ボット」は,悪質なプログラムを“機能”(振る舞い)で分類した場合の名称である。攻撃者からの命令を待ち受けて,その命令に従って動作する(例えばDoS攻撃を仕掛けたり,スパムを送信したりする)悪質なプログラムを指す。
「キーロガー」や「バックドア(プログラム)」も同様だ。キーロガーは,ユーザーのキー入力を記録する悪質なプログラム,バックドアは攻撃者がそのマシンに不正にアクセスできるようにする悪質なプログラムである。キーロガーのようにマシンの情報を盗み出す悪質なプログラム全般を「スパイウエア」と呼ぶ場合もある。
以上の定義によれば,「ボットの機能を持つウイルス(例えばSobig.F)」や「ボットの機能を持つワーム(例えばZotob)」が存在することになる。「ボットかつキーロガーでもあるトロイの木馬」というものも考えられる。そして今回の調査対象は,「ボットの機能を持つワーム」あるいは「ワームとして感染を広げるボット」と言える。
