ハッカーの祭典Black Hat Japan 2005 Briefingの2日目、ISPの業界団体・Telecom-ISAC Japanの企画調整部副部長の小山覚氏(NTTコミュニケーションズ)が登壇、JPCERT/CCと共同で実施した「ボットネット実態調査」の結果を示すとともに、「ISPとMalwareの戦い」と題した講演を行った。

ボットネットは、ウイルスなどの不正ツールを使ってインターネット上のPCを遠隔から操作できるようにしたPC(ゾンビPC)のネットワークを指す。ゾンビPCは、一般的に脆弱性を放置したPCで、ボットネットに組み込まれていることに気づいていない。

攻撃者は、このボットネットを使い、一斉に特定のサイトにアクセスするDoS攻撃を行ったり、各ゾンビPCからスパムメールを発信したりと、さまざまな悪意のある行動を行う。小山氏によれば、ボットネットの問題が国内で表面化したのは、このスパムメールの大量送信からだったという。2004年春、「.jp」ドメイン宛の大量のメールが送信され、その多くがエラーメールとなったため、ISPのメールサーバーに大きな負荷がかかった。しかも、送られたメールは日本語メールだったにもかかわらず、送信元は海外の数百～数千というIPアドレスとなっており、今までのスパムとは状況が違っていた。

そこでTelecom-ISAC Japanが調査を行った結果、これらのスパムはボットネット(Zombie Cluster)を使って送信された疑いが濃厚になったのだそうだ。

しかしその当時、ISPがもっとも対策に頭を悩ませていたのが、国産のファイル共有ソフト「Winny」を経由して感染を拡大していた「Antinny」ワームの対策だったという。Antinnyは、感染したPCの情報を漏えいさせるという問題があったが、その亜種の一部が、コンピュータソフトウェア著作権協会(ACCS)にDoS攻撃を行い、それにより、4月には一部のISPで、DNSサーバーの負荷が平常時の6倍以上に跳ね上がる異常事態になるほどだった。「ボットネットは犯罪組織が金もうけのために行うが、(Antinnyは)やりたい放題だった」(小山氏)。

Telecom-ISAC Japanでは、ACCSのサーバーのIPアドレスに対するアクセスを破棄することでISPのDNSサーバーの高負荷を回避することにし、その結果、6月以降は負荷が平常通りとなった。ちなみにこのDoS攻撃では、800Mbps近いトラフィックがACCSサーバーのIPアドレスに押し寄せていたそうだ。このときを振り返って小山氏は、「マルウェア(この場合はワーム)恐るべし。インターネットの平和を保つため、自分たちで何とかしないと(インターネットが)崩壊させられると感じた」と語る。

この対策に追われている間に、ボットネットによるスパム送信が頻発していた。ようやく本格的な調査が開始されたのは2005年1月以降だったという。これは、Telecom-ISAC JapanとJPCERT/CCが中心となり、ISP、ウイルス対策ソフトベンダ、セキュリティサービスベンダが連携、「古い伝統的なボットプログラム」(同)である「Agobot」のソースコードを解析、各種調査を行った結果、40～50人に一人の割合でボットに感染していることが判明し、脆弱なPCをネットにつなぐと、わずか4分でボットに感染することが分かったそうだ。しかも、国内全体で500Gbpsのネットワークのうち、数Gbpsがボットのトラフィックで常に消費されていたという。

ボットネットは、その所有者(Herder＝羊飼い)がIRCを使って各ゾンビPCに指令を出す――というのが基本的な仕組みだと小山氏。特にソースを解析したAgobotは、メンテナンスや情報収集、ウイルス対策ソフトなどを停止する自己防衛機能、そしてゾンビPCのコントロールと攻撃を実行する、といった機能を備えていた。

Telecom-ISAC Japanでは、調査のためにハニーポットを構築、ウイルスやワーム、ボットといった悪意あるプログラムの収集を行ったところ、42日間の間に、1日平均で758.2件、88.2種類のプログラムを検出、そのうち84.2件、70種類の未知のプログラムが発見されたという。

そのうち8割がボットに分類されるプログラムで、マルウェアのトレンドがワームからボットに移行している、と小山氏。ボットの中でも「RBOT」「POEBOT」「SDBOT」の上位3種類が95%を占めたそうだ。また、常時20種類程度のボットが感染活動を行っており、ピークでは150種類のボットが活動していた。

こうしたボットへの調査を行った結果、ボットはスパム送信に際してリダイレクトポートを使い、しかもそのポートは頻繁に変更されることが判明。しかも1つのIPアドレスからの送信量を限定することでISPの制限を回避したり、ゾンビPCがsubmissionポートなどを使うことでISPのOutbound Port 25 Blockingをかいくぐったり、「よくスパマーは考えている」と小山氏自身が感心するほどの工夫が凝らされているそうだ。

小山氏は、ボット感染の多くが脆弱性をターゲットにしており、基本的なITリテラシーなどの教育が重要と指摘。さらに、ボットを駆除し、PCを復旧するためのツールが不足している点を問題視。ウイルス対策ソフトベンダもすべてのボットを把握していないため、それ以外にも対策を実施する必要があるとした。「ISPはマルウェア、ワームから(インフラを)守るためにいろいろやっている。設備を守ること。それが結果として顧客を守ることになる」(小山氏)。

なお、小山氏は、これまでのISPとマルウェアとの戦いを振り返り、「Episode I」を2001年以降のCodeRed II / Nimda / Slammer、「Episode II」を2003年夏のBlaster / Sobig F、「Episode III」を2004年のAntinny、「Episode IV」を2005年のボットネット、と表現している。