ITproでも連日のように報じているように,セキュリティについてはWinny(ウィニー)経由の情報漏えいに関する話題が“旬”である。だが,こうしている間にも,インターネットを蝕んでいる脅威が存在する。「ボット」である(用語解説)。知らないうちに侵入し,ユーザーには気付かれないようにそのパソコンを乗っ取る悪質なプログラムだ。
ITproでボットを本格的に取り上げたのは,2004年の終わりごろ(関連記事:新たな脅威「ボット(bot)」に気をつけろ!)。以降,筆者はボットに関するニュースや解説記事を鋭意掲載しているが,一般紙/誌でボットが取り上げられることはほとんどない。
そのせいもあって,多くのユーザーの認知度は2004年と変わっていないように思われる。情報処理推進機構(IPA)が実施した意識調査によると,「ボット」を知っていると答えたユーザーは12.8%だったという(関連記事:「ネット・ユーザーの8割はボットを知らない」)。
“退治”されない工夫が進む
認知度が進まない一方で,ボットは“進化”を続けて“退治”することが難しくなっている。
ボットに感染したパソコン(ユーザーの知らないうちにボットが動作しているパソコン)は,指定されたIRC(Internet Relay Chat)サーバーなどに接続して,攻撃者からの命令を待つ。攻撃者が命令を送ると,その命令に応じてボット感染パソコンは,迷惑メール(スパム)の送信や,特定サイトへのDDoS(分散サービス妨害)攻撃などを行なう。最近では,ボットにオンライン広告をクリックさせて不正に収益を得る手口も確認されている(関連記事:「ボットにオンライン広告をクリックさせて一儲け」)。
複数のボットが特定のサーバーに接続していれば,攻撃者は1回の命令で,それらすべてに同じ動作をさせることができる。つまり,協調した攻撃が可能となる。協調して動作するボット感染パソコン群は,「ボットネット(botnet)」や「ボット・ネットワーク(bot network)」と呼ばれる。
なお,ボット(ボットネット)を操る攻撃者は「herder(ハーダー)」と呼ばれることがある。herderとは英語で「羊飼い(牧者)」のこと。ボット(ボット感染パソコン)を「羊」に見立てているのだろう。
ボットネットを構築していれば協調した攻撃が可能なので,ボット感染パソコン1台あたりのスペックが貧弱でも,何百台,何千台,何万台も集めることで,攻撃は強力なものとなる。また,攻撃元が多数かつバラバラなので,攻撃元を特定して対策を取ることが難しい。
一方でボットには弱点もある。命令を送るサーバー(IRCサーバーなど)を閉鎖すれば,ボットネットは事実上使い物にならなくなる。例えば2004年9月には,IRCサーバーを閉鎖することで,1万台のボット感染パソコンで構成されるボットネットを退治できた(関連記事:1万台を超えるパソコンで構成された“攻撃用ネットワーク”が確認)。
だが,この弱点は克服されつつあるようだ。セキュリティ組織「Telecom-ISAC Japan」などによれば,ボットの中には,今まで使っていた命令中継用IRCサーバーが機能しなくなると,ボット感染パソコンの中で回線状況がよいものをIRCサーバーに“昇格”させる機能を備えるものがあるという(関連記事:ボットの驚くべき実態が明らかに)。これでは,ボットネットを構成するボットすべてを駆除しない限り攻撃は続く。
そもそもサーバーを必要としないタイプのボットも確認されている。P2P(peer-to-peer)ネットワークを構築する「Nugache(ヌガチェ)」である(米SANS Instituteの情報)。Nugacheは,メールやAIM(AOLインスタントメッセンジャー)などで自分自身を配布する(感染を広げる)。メールなどの受信者がNugacheファイルを実行すると,そのパソコンはボットネットを構成するノードの一つとなり,攻撃者からの命令を中継するとともに,命令に従って攻撃を仕掛けるようになる。
P2Pネットワークを構成するウイルス(悪質なプログラム)はNugacheが初めてではない。2002年9月に出現した「Slapper」などが有名だ(関連記事:「Slapper」ワームの脅威)。だが,数はそれほど多くなかった。今後はNugacheの出現を受けて,ボットの多くに,このメカニズムが組み込まれることが予想される。
