「国内インターネット・ユーザーの40~50人に1人がボットに感染している。ボットに占領されている帯域は国内だけで10Gビット/秒にのぼる。また,未対策のPCをネットに接続すると,およそ4分でボットに感染する」——。Telecom-ISAC Japanの企画調整部副部長である小山覚氏は7月27日,JPCERTコーディネーションセンター(JPCERT/CC)Telecom-ISAC Japanが開催したセミナーにおいて,JPCERT/CCなどと共同で実施した調査結果を発表した(写真)。

 Telecom-ISAC Japanは,国内の通信事業者/ISPで構成される組織。情報通信インフラの安全性確保を目的の一つとして発足した。通信サービスを妨げるようなインシデント(出来事)情報を会員事業者間で共有するとともに,大規模インシデントに対しては連携して対策にあたる。例えば,2003年に発生した「Blaster」や「Sobig-F」,2004年に発生したDDoS(分散サービス妨害)攻撃に対しては,会員事業者が連携して対応したという。

 Telecom-ISAC Japanでは,以前からJPCERT/CCと情報交換などを実施しているが,近年のインシデントの深刻化を受けて連携を強化。今まで以上に,共同での研究調査やインシデント対応などに力を入れている。今回のボットに関する実態調査はその一環である。調査には,国内のセキュリティ・ベンダーも複数協力している。

 調査では,まず,おとりとなるマシン「ハニーポット」をネット上に設置し,“流通”しているボットを捕獲。その挙動や特徴を解析した。収集期間は4月1日から5月12日まで。この期間中に捕獲したプログラムのうち,ボットとしての挙動が確認されたのは,3万1846件(3705種類)。このうち,ウイルス対策ソフトで検出できたボットは2万8309件(767種類),検出できなかったボットは3537件(2938種類)だった。「1日あたり70種類の未知のボットを捕獲したことになる」(小山氏)

 その後,解析したボットの挙動や通信特性をISP数社へ提供。そのデータを基に,それぞれのISPではどの程度のボット感染マシンが存在すると考えられるかを分析してもらった。その結果を集計すると,国内のISPユーザーの2~2.5%がボットに感染していることが判明したという。

 ボットが送信するトラフィックは,1台(1IPアドレス)あたり0.3kビット/秒程度。このため,国内のISPユーザーの2~2.5%が感染しているとすると,全ポットが占める帯域は10Gビット/秒に相当するという。

 また,同調査では,ファイアウオール(ルーター)などを利用せず,パッチなども適用していない未対策のPCをネット上に置いて,わざとボットに感染させた。その結果,「平均4分でボットに感染する」(小山氏)という。ボットのタイプはさまざま。メールで添付されて送られてくるウイルス/トロイの木馬タイプのボットもあれば,Blasterワームのように,ネットに接続しているだけで感染する可能性があるボットもある。平均4分で感染するのは後者のタイプである。

 ボットに感染して「ボットネット(複数のボットで構成されたネットワーク)」の一部になると,DDoS攻撃やスパム送信の踏み台になる(関連記事)。「ボットネットでDDoS攻撃を仕掛ければ,任意のタイミングでインターネット・バックボーンに影響を与えられる」(小山氏)。フィッシング目的の偽サイトを立ち上げられたり。感染マシンから個人情報などを盗まれたりする可能性もある。ボットネットは「社会的な問題になっている」(同氏)。

 ユーザーとしては,「ボットが大きな問題になっていること」「人ごとではないこと」を十分肝に銘じておく必要がある。ユーザーがすべきことは,基本的なセキュリティ対策をきちんと実施すること。特に,ADSLのような常時接続環境ではブローバンド・ルーター(TAタイプではなく,ファイアウオール機能を備えたルーター・タイプ)を利用するよう,小山氏は強く勧める。「NATをかけているだけでも効果がある」(同氏)

 また,「ボットの大半は,比較的古い脆弱性を狙う」(小山氏)ので,きちんとパッチを適用することも重要(関連記事)。ただし,パッチを適用しようとして未適用のマシンをいきなりネットにつなぐと,適用前にボットに感染する恐れがある。未適用のマシンは,ブローバンド・ルーターなどを通してネットに接続すること。

 ウイルス対策ソフトの利用ももちろん有効である。ただし前述のように,対策ソフトで検出できないボットが多数“流通”しているので,過信は禁物である。

 加えて,ネットワーク経由ではなく,メールに添付されて送られてくるボットも少なくない。しかも,特定のユーザー/企業を狙ったボット添付メールが送られてくる可能性がある(関連記事)。十分注意したい。

(勝村 幸博=IT Pro)