【レポート】ISPからボット感染報告を受けたユーザー、何%が対策をするか | ネット

急上昇ワード

[

]

【レポート】

ISPからボット感染報告を受けたユーザー、何%が対策をするか

冨田秀継　 [2007/02/14]

印刷

「重要インフラセキュリティセミナー」が、情報処理推進機構(IPA)と、日本データ通信協会テレコム・アイザック推進会議(Telecom-ISAC Japan)、JPCERT コーディネーションセンター(JPCERT/CC)の主催で開催されている。

セミナーではTelecom-ISAC Japanから企画調整部の有村浩一部長が登壇し、同団体のボット対策、注意喚起とそれに対するユーザーの反応について講演した。

組織としてのTelecom-ISAC Japan

Telecom-ISAC Japan 企画調整部有村浩一部長

Telecom-ISAC Japanは日本初のISAC(Information Sharing and Analysis Center)として、2002年7月に設立された。「日本のネットワークインフラを、事業者が連携して守る」ことを目的に立ち上げられた会員制任意団体だ。

国内ISP主要7社によって設立されたTelecom-ISAC Japanだが、事業者同士は「コンペティター(競合)同士でもある」。この点について有村氏は、「制度・ビジネス上の問題もあり、1社で解決できるものには(Telecom-ISAC Japanとして)手を出さない。1社で手に負えないインシデントの時に、皆で一致団結して対処していく」と説明する。

競争を維持しながらも、大規模なインシデントでは連携するという考えは、以前、筆者がNTTコミュニケーションズの小山覚氏に取材した際に、氏が語っていたISAC設立時のエピソードを思い起こさせる。

「以前、NTTコミュニケーションズにいた飯塚さんという人がいます。彼は『セキュリティの世界がようわからないのはみんな一緒なんだから、健全な Competition(競争)をするために、まずは高邁なCollaborationから始めようじゃないか』と言いました。そうしてできたのが、 Telecom-ISAC Japanなんです。いまでもインターネットのセキュリティ対策に関しては各社惜しまずにノウハウを出し合って情報共有するような取組みが出来ています」

参考:
「セキュリティで本当に大事だったのは友達、助けてくれたのは友達」 - NTT Com 小山覚氏

話を講演に戻そう。「ただ単に情報共有しようと声をあげても、なかなか進まない。そのため、トピック毎に情報を共有しよう」という考えから、Telecom-ISAC JapanではWorking Group(WG)を中心にして情報共有・連携活動を進めることになったという。


Telecom-ISAC Japanの組織構成。「Our security depends on your security」を信じること、とある	Telecom-ISAC Japanの機能イメージ。DDoS攻撃対応、BGP経路情報監視、ボット・Antinny対策、CCC(サイバークリーンセンター)といった役割を担う

現在のTelecom-ISAC JapanにはISPらで構成されるメンバー企業のほか、アライアンスメンバーとしてラック、トレンドマイクロ、インターネットセキュリティシステムズといったセキュリティベンダやSIer、オブザーバーとして総務省、情報通信研究機構などの政府・研究機関が参加している。

ISPから感染報告を受けたユーザー、何%が対策をするか

有村氏は続けて、BGP経路情報ハイジャックとその対策、そしてボットネット対策プロジェクトとCCC運営状況を紹介。本稿ではこの中から、ボットネット対策プロジェクトに焦点をあてて、現況を紹介しよう。

Telecom-ISAC Japanのボットネット対策プロジェクトは、2005年のボットネット実態調査に端を発する。この調査では、日本のISPユーザーの2～2.5%がボットに感染、台数にしておよそ40～60万台に達するという結果が明らかになった。

こうした事態を受け、2006年12月、総務省は経済産業省とボット対策に着手、CCC(サイバークリーンセンター)を開設した。CCCはボット駆除ツールを無償でダウンロード・利用可能なポータルサイトで、Telecom-ISAC Japanはボット対策システム運用グループとして、JPCERT/CCはボットプログラム解析グループとして、IPAはボット感染予防推進グループとして参加している。

ボット感染対策の流れは、ボット感染PCからの攻撃をおとりPCが受け、検体と攻撃情報を収集する。次に、攻撃してきたボット感染PCの情報から感染ユーザーを割り出し、感染IPリストをプロバイダに通知。プロバイダは感染ユーザーに啓発メールを送る。感染ユーザーはCCCへアクセスし、対策情報を得たり、駆除ツールをダウンロード・実行するということになる。

しかし実情は、「得体の知れないメールだと思われることもあり」(有村氏)、昨年12月15日のスタート段階で30%、今年1月25日で24%のユーザーが、注意喚起を受けてトップページを訪れただけだという。このなかでツールを実行したユーザーは、それぞれ26%、20%という結果になった。


ボット感染者対策ワークフロー	注意喚起実施状況。参考で示されているAntinny対応の数字が目を引く

ISP側では、ユーザーが「対策完了連絡」を送信することで、対策の進捗を確認している。

対策完了連絡の画面

先に挙げたボットネット実態調査によると、おとりPCで1日約80種のボット検体を検知し、そのうち70種は未知の検体、つまりウイルス対策ソフトで検知できなかったものだった。有村氏は「セキュリティベンダが作っているのは、いわば総合感冒薬」とし、Telecom-ISAC Japanでは「オーダーメードの薬」を作成・配布に取り組むとしている。