サイバー犯罪のインフラとなっている「ボットネット」。ネット関連企業やセキュリティベンダー、各国の司法当局などは協力し、大規模なボットネットを次々と「テイクダウン(使用不能にすること)」している。だが、攻撃者も負けてはいない。テイクダウンを避ける仕組み「ファストフラックス」を編み出して対抗している。

 不正送金やDDoS攻撃(分散サービス妨害攻撃)、スパム送信といったサイバー攻撃のインフラとなっている「ボットネット」。攻撃者はボットネットを“活用”し、企業や個人ユーザーに大きな被害を与えている。そこでネット関連企業やセキュリティベンダー、各国の司法当局などは協力し、大規模なボットネットを次々と使用不能にしている。

 ボットネットを使用不能にすることは「テイクダウン(Takedown)」と呼ばれている。テイクダウンには様々な方法がある。その一つは、各PCに感染しているウイルスを全て駆除することだ。だが、一つのボットネットにつき数百万台に上ることもあるウイルス感染PC全てを、一度にクリーンな状態にすることはまず不可能だ。

“司令塔”がボットネットの弱点

 そこで、ほとんどのテイクダウンでは、ウイルスそのものを駆除するのではなく、ボットネットとして機能しなくさせることを狙う。その代表例が、ボットネットの司令塔となるC&C(コマンド・アンド・コントロール)サーバーを落とすことである(図1)。

図1●C&Cサーバーを落としてボットネットを使用不能に
図1●C&Cサーバーを落としてボットネットを使用不能に
[画像のクリックで拡大表示]

 攻撃者は、C&Cサーバーを使うことで最大数百万台に上るウイルス感染PCに一斉に命令を送ることができる。だが、この効率的な仕組みは、攻撃者にとって弱点にもなるのだ。防御側では、ウイルスを解析するなどしてC&Cサーバーを特定し、「そのサーバーを管理しているホスティング事業者などに連絡してサーバーを落としてもらう」(日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏)。

 ボットネットが出現したのは2002年ごろ。「Agobot」と呼ばれるウイルス(ボット)で構成されたボットネットが先駆けとされている。当初は、C&Cサーバーを停止することが、ボットネットをテイクダウンするための常套手段だった。