都内で開催中のセキュリティ関連の展示会「RSA Conference Japan 2006」で、JPCERT コーディネーションセンターの早期警戒グループ情報セキュリティアナリスト中谷昌幸氏とTelecom-ISAC Japanの小山覚氏が講演に立ち、ボットの脅威について語った。

ボットで「脅威が変化している」

ボットは、脆弱性を放置するなどしたPCやサーバにプログラムを仕込み、遠隔からそのマシンに指令を出してスパム送信やDoS攻撃などのさまざまな攻撃を行うもの。ボットが仕込まれたマシンは「ゾンビ」などとも呼ばれ、ゾンビで構築されたネットワークを「ボットネット」「ゾンビクラスター」などと呼ぶ。

ボットに指令を出すマシンは「Herder」(牧夫)と呼ばれており、Herderからの指令はIRCサーバを経由して送信される。現在は主にこのIRCを使うボットが主流だが、中谷氏は将来的にはP2Pネットワークを使い、中央のIRCサーバを経由しないで指令を出すボットネットが登場する可能性を指摘する。実際、著名なボットプログラムの「Agobot」には、P2P機能が用意されており、「現在はこれを利用したボットネットは確認できていない」(中谷氏)ものの、IRCサーバを使う方法が対策された場合には、P2P型に移行することが予測されているそうだ。

中谷氏は、「脅威が変化している」と指摘。ウイルスやワームは売名行為・いたずら目的だったために派手な動作をして広く拡散する仕組みが多かったが、ボットは金銭搾取などの犯罪行為を目的としており、必要な数のゾンビが得られればよく、派手な動作はしない。Herderからの指令に応じて活動し、指令がないときはPC内に潜んでいるため、発見しづらい点も特徴だ。実際、JPCERT/CCのインターネット定点観測データによると、ボットの活動はデータに表れにくかったという。

定点観測データでボットの活動が把握しにくいことから中谷氏は、その手法を検討する必要があると指摘している。また、企業内のマシンに潜むボットの活動は、インターネット上の観測データには表れないため、その点も考えなければならないのだとした。