日経NETWORKで「ボットネット」に関する記事を執筆した。最近,雑誌やニュース・サイトでよくボット関連の記事を目にするし,セキュリティ関連の取材をしていても「ボット」というキーワードが出てくる。ただ,その実態がよく分からない。いったいボットとは何で,どこが問題になっているのかを明らかにしたかった。(ボットの概要は関連記事が参考になる)
筆者が取材を始めるにあたって,一つ心の中でモヤモヤしていたことがあった。それは,「ボットネットは本当に危険なのだろうか?」ということだ。ほかの雑誌や識者の講演などで「危険だから注意を怠らないように」という言葉をよく目や耳にする。多くを取材した記者や業界の識者が言っているのだから,その言葉に間違いはないだろう。でも,自分がそうした気持ちにならないと,少なくとも自分の記事で「危険です」とは書けない。
そこで今回,数社のベンダーに理由を話して,「ボットネットが動作するデモを見せてください」とお願いしてみた。多くのベンダーからは,「デモ環境が整わない」,「セキュリティ上お見せできない」などの理由で丁重に断られてしまったが,唯一「デモを見ることで脅威を実感し,これを対策に生かしたりユーザーの意識を高められたら幸いです」と,了承してくれたベンダーがあった。この場を借りて,セキュアブレインの星沢裕二プリンシパルアナリストに感謝したい。
ボットの怖さをデモで実感
ボットネットのデモの内容は以下である。
ネットワークの構成は,4台のパソコンをLANでつないだ構成である。パソコンはそれぞれ,クラッカ用パソコン,IRCサーバー用パソコン,ボット感染パソコン,攻撃対象のWebサーバーを見立てている。ボット感染パソコンは,SDBOTと呼ばれるボットに感染している。
星沢さんに操作してもらったのは,クラッカ用のパソコン。そこにはIRCのクライアント・ソフトが入っている。画面は何の変哲もないチャットの画面だ。ここに,「.sysinfo」という文字列を入力すると,ボット感染パソコンのOSの種類,ログイン・ユーザー名などが画面に表示された(図1[拡大表示])。チャットでボットに命令が伝わり,ボットがそれを理解して応答を返してきたのだ。
ボットの怖さを実感したのが,「.syn」という命令を実行してもらったときである。この命令は,SYNフラッドという攻撃を指定したあて先のコンピュータに仕掛けるコマンドである。パラメータとして,攻撃対象にするLAN上のWebサーバーのIPアドレスと,攻撃を続ける秒数を入力して命令を実行した。すると,ボット感染パソコンが,命令のまま大量のパケットを送り付けたのだ。この攻撃を受けたサーバーは即座にサービス不能になった。
命令一発であらゆる攻撃が思いのまま---。その手軽さに驚くとともに,怖さを実感した。インターネットには,こうしたボット感染パソコンが40万~50万台もあると言われている(関連記事)。命令一発で,プロバイダの回線をパンクさせることだってできてしまうだろう。そう思うと背筋がゾッとした。
断言しよう,ボットは怖い。インターネットを危険な場に変える怖さを持っている。
対策の難しさもボットの特徴
さらに取材を進めていくと,ボットの別の怖さを知ることになった。それは,対策の難しさである。理由を挙げるといろいろ出てくる。
一つめは,ボットには既存のウイルス対策ソフトが効かないケースが多いこと。ボットは亜種の出現が極めて速い。そのため,ウイルス対策ソフトでのパターン・ファイルの作成が追いつかない状況にある。
二つめは,闇ビジネスとして「ボットネット利用サービス」が成立していること。ボットネット作成者が,迷惑メール配信者や脅迫者にボットネットを時間貸しして利益を得る。需要と供給が成り立っているので,ボット作成者もボット利用者もあの手この手で発見されないように工夫する。
三つめは,ボットに感染するのは家庭で利用されているパソコンが多いこと。インターネット・ユーザーは,IT Proを毎日欠かさずに見るセキュリティに熱心なユーザーだけではない。ボットは,そのようなセキュリティに無関心なユーザーのパソコンに感染していることが多い。こうしたユーザーには,対策の必要性や具体的な対処法が目や耳に入りにくい。
四つめは,ベンダー個々の対策では手に負えなくなってきているところ。例えば,セキュリティ・ベンダーは,ボットの解析ノウハウはあるが,駆除ツールを作るシステムがない。ウイルス対策ソフト・ベンダーは駆除ツールを作るノウハウはあるが,それを感染ユーザーまで確実に送り届けるすべがない。プロバイダは,感染ユーザーが特定できたとしても,駆除ツールを作成して配るすべがない。といった具合である。ボットに関しては,ベンダー1社が対策を打ち出しただけでは意味がないのである。
総務省と経済産業省がボット対策に乗り出した
ただ,こうした状況を打破しようという動きもある。総務省と経済産業省が共同でボット対策に乗り出すというものだ。
ボットネット対策プロジェクトで実施する対策は三つ。(1)ボットの検体(プログラム)収集システムの構築,(2)駆除ツールの作成,(3)感染ユーザーへの告知ルールの作成である。
まず,インターネット上に検体収集用のサーバーを設置して,ボットのプログラムを集めるシステムを作る。国内プロバイダと協力し,ユーザーに割り当てていないアドレスあてのパケットを検体収集用サーバーに転送することで実現する。実際のシステム構築には,セキュリティ・ベンダーのノウハウをつぎ込む。
そして,集めたボット検体を解析して駆除ツールを作り,公的機関のWebサーバーに公開する。ここでは,国内のウイルス対策ソフト・ベンダーと連携する。
さらに,ボットの感染ユーザーに直接感染を知らせることができるようにする。プロバイダは現状,電気通信事業法の「通信の秘密」を守るため,たとえボットのトラフィックであっても遮断したり,感染の現実をユーザーに知らせることができない。そこで,明らかにボットに感染しているユーザーに感染を知らせることができるように法律を改正する。
こうして国内ベンダーの力を集結し,そのまとめ役を国が担おうというわけである。
このプロジェクトがどの程度ボット対策に効力を発揮するかは分からない。しかし,やれることはやるべきだと思うし,国内ベンダーとインターネット・ユーザーが力を出し合うことで,改善の方向に向かってくことは期待できる。ただ,このシステムが稼働するのは早くても2006年夏。今のボットネットの深刻な状況を考えるとこれでは遅い気がする。被害を最小限に抑えるためにも,計画を前倒して進めてほしい。
■日経NETWORK11月号では,NETWORK調査隊「ボットネットの正体を探る」で,ボットネットのしくみや対策方法を掲載しています。またNew Faceでは,国のボットネット対策プロジェクトの内容を解説しています。ぜひご覧下さい。
