セキュリティ組織の米SANS Instituteは現地時間7月12日,通信の匿名性を高めるシステム(ソフトウエア)「Tor(The Onion Router)」を使ったボットの通信が確認されたことを明らかにした。意図的に使われているかどうかは不明だが,Torを使われるとボットに感染しているマシンを突き止めることなどが難しくなるという。
Torとは,多段プロキシと暗号化によって通信元の匿名性を高める技術あるいはソフトウエアのこと。TorをインストールしたマシンはSOCKSプロキシとなり,Torネットワークを構成する。Torマシンが別のマシンと通信する際には,このTorネットワーク経由してデータが送られる。具体的には,ランダムに選択された複数のTorマシン(SOCKSプロキシ)を経由する。Torマシン間の通信はそれぞれ暗号化され,経路も通信ごとに変更される。
SANS Instituteには,このTorネットワークを使用したボットのトラフィックを確認したという報告が寄せられた。ただし,ボット(ボットネット)が意図的にTorを使用したのか(ボットにTorの機能が組み込まれていたのか),ボットに感染したマシンがTorを使っていたためなのかは不明であるという。
いずれにせよ,ボットとHerder(ボットに命令を送る攻撃者)との間の通信にTorなどの匿名システムが使われるようになると,ボット感染マシンを特定することが今まで以上に困難なるとしている。
・米SANS Instituteの情報
・Torの公式サイト