“インターネットの危機” 活発化する「ボットネット」
2007年、インターネットの世界では「ボットネット」が極めて大きな問題になるという。セキュリティ企業各社が警告しているほか、世界の指導者や経済人が集まって今日の課題を討議する「世界経済フォーラム」(ダボス会議)でも取り上げられ、“インターネットの根幹を揺るがしかねない脅威”としてクローズアップされた。
1月、スイスのダボスで開催された「世界経済フォーラム」では、“インターネットの父”Vint Cerf氏が、ボットネットに関する衝撃的な警告を発した。Cerf氏は「ネットワークに現在接続された世界の6億台のコンピュータのうち、1億台から1億5000万台がすでにボットネットの一部に組み込まれている」と述べた。世界のコンピュータの4分の1、通常考えられているよりはるかに高い比率だ。Cerf氏はボットネットの広がりを「pandemic」(流行病)に例えた。
このパネルで、the New York Timesのテクノロジー欄を担当するジャーナリストJohn Markoff氏は、たった一つのボットネットで、Yahoo!の検索能力の15%を消費させることができると指摘。ボットネットの広がりは「考え得る最悪の状態。全インターネットを危機に陥れるものだ」と危険性に警鐘を鳴らした。
しかし、リポートしたBBCの記事は「だが、参加者はこれに対する確実で実行可能なソリューションを持ち合わせていなかった」と対策の難しさを伝えている。
ボットネットは、マルウェアの一つ「ボット」によって外部からコントロールを受ける“ゾンビ”コンピュータのネットワークだ。数万、数十万台というコンピュータがクラスタを構成し、命令一つでDDoS攻撃を仕掛けてサイトをダウンさせたり、大量メール送信でスパムをばらまく。また、オンライン広告を自動クリックする機能を持ったものも確認されている。最近はとくにプロの組織が、企業脅迫からフィッシングまで犯罪に活用するようになり、ボットネットワークのレンタルも行われているという。
コンピュータに入り込む個々の「ボット」プログラムには、攻撃機能のほか、感染活動、自己バージョンアップ、情報収集などの機能が備わっていることが多い。攻撃のほかに感染マシン内の情報を盗み出すことも行う。それぞれが、ワームであり、スパイウェアであり、バックドアであるという側面も持つ。
ウイルス対策企業がボットを最初にマルウェアリストに入れたのは2002年ごろだ。だが、ボットもその後進化を続け、多機能かつ駆除しにくくなっている。膨大な数の亜種が次々に登場し、シグネチャ型(パターンファイル型)のアンチウイルスソリューションでは検知が難しくなっているというのが現状だ。
そしてボットネットの影響は次第に顕著になってきた。2006年秋に世界でのスパムが急増するという現象が起こったが、これがボットネットワークの仕業だとみられている。
MessageLabsが昨年11月に発表したレポートによると、10月のスパムのトラフィックは前月比で一気に8.5%増加した。同社は、これについて2つのマルウェア、ワームの「Warezov」とトロイの木馬の「SpamThru」がセットになって働いたことが主要因であるとみている。
「Warezov」(別名Stration)は強力なワームでメールを介して感染を広げる。また、「SpamThru」(別名Spam-DComServ)はスパム送信機能を持ったトロイの木馬で、ボットプログラムだ。
MessageLabsの見方は、大量の「Warezov」がばらまかれて一般ユーザーのコンピュータに感染し、「SpamThru」をダウンロードして広がり、活動を活発化させ、これによって急激なスパムトラフィック増を招いたというものだ。そして、この「SpamThru」は、いくつかの際だった特徴を持っていることが、MessageLabsや他のセキュリティ企業の分析で分かっている。
それによると、従来のスパムボットが1通ずつメールを送信するのに対し、「SpamThru」はテンプレートを使って1台のゾンビコンピュータから大量のメールを送信するという。MessageLabsはこれを「spam cannon」機能と呼んでおり、きわめて効率の高いボットネットを構築するものだと指摘している。
また、「SpamThru」はP2Pネットワークを構築して指令を受ける。多くのボットはチャットに使われるIRCプロトコルを介して命令を受け取るため、サーバーをみつけて遮断することで、ある程度動きを封じることができた。しかし、P2Pネットワークはこの弱点を持たない。
もうひとつ、特異な機能として、「SpamThru」が感染したコンピュータから他のマルウェアを駆除することが分かっている。SecureWorksの分析では、Kaspersky Labのアンチウイルスエンジンの海賊コピーを内蔵し、活動する際、他のウイルスやトロイの木馬を見つけ出して削除するという。これによって「SpamThru」は、とりついたコンピュータのリソースを最大限に利用することが可能になる。「SpamThru」はボットを新しいレベルに引き上げたとも言える。
ボットネットとの関係があるとみられる動きは、さらに続いている。2月5日から6日にかけて、世界に13あるルートDNSサーバーのうち3台に大規模なDDoS攻撃が仕掛けられた。攻撃にはボットネットが使われたという見方が強い。
また、2月8日付のSecureWorksのレポートなどによると、欧州を中心に出現したワーム&トロイの木馬「Storm Worm」(別名Small、NUWAR)のボットネットが、「Warezov」の関連サイトにDDoS攻撃を仕掛けていることが確認された。2つのマルウェアグループの間の抗争が起こっているらしい。
ボットネットは、犯罪と結びついて利益を生む構造を作り上げている。抗争は裏経済の覇権争いのように見える。そして、こうした争いでは、いつも無関係の一般ユーザーが迷惑を被るのだ。