筆者は先日ボットネットの具体的な数字を尋ねられた。それを機に,これまで収集した情報をまとめ,その傾向を考えてみた。
2004年と2005年,ボットはウイルスやトロイの木馬と別の独自グループに分類されており,「bot」で終わる名前が多かった(例:W32/Sdbot,W32/Spybot,W32/Gaobot)。我々が集めた亜種の種類に基づくデータから,これらは増加傾向にあることが分かる。
2006年以降は,大半のマルウエアがリモート・コントロール機能を備えるようになった。つまり,ボット化したのだ。ワーム,ウイルス,トロイの木馬といった種類の違いによらず,いずれも何らかのタイミングで命令を受け取って実行するようになっている。現在,こうしたリモート・コントロール型マルウエアの多くは,さまざまな系統(W32/Nuwar,W32/Mytob,Spam-Samburg,Srizbi,Backdoor-DIXなど)に分類される。この結果,我々も集計方法を変えざるを得なくなった。
インターネット上には,異なる側面からボットの脅威を調べられるさまざまなWebサイトが存在する。
例えば,サイバー犯罪に関する調査グループ「Shadowserver Foundation」のWebサイトは,ボットネットの数を示してくれる。以下のグラフは,同グループが把握している活動中のボット制御用(C&C:command-and-control)サーバーの総数だ。現在およそ2900個のボットネットが存在している。1年前は1400個だった。
感染被害を受けたパソコンの集計は根気のいる作業だ。2007年1月,スイスのダボスで開催された世界経済会議でのVinton Cerf氏の講演内容について,筆者はブログ投稿記事でコメントした。同氏は,インターネットにつながっているパソコンのうち,全体の10%強にあたる推定1億〜1億5000万台が感染していると説明したのだ。この当時,感染台数を1000万台未満としたメディアもあれば,毎日およそ25万台のパソコンが新たに感染していると述べたものもあった。
ボットネットを構成するゾンビ・マシンの追跡には,さまざまな手法が用いられる。筆者としては一つだけ例を挙げ,読者にはいくつかの興味深いリンクを示したい。
(1)DNSブラックホール・リスト(DNSBL)に対するクエリーの監視
ジョージア工科大学コンピューティング学部のホワイト・ペーパーで紹介されている手法である。ボットネットの管理者は,自らDNSブラックホール・リスト(DNSBL)を検索し,スパム送信用ボットがブラックリストに登録されているかどうか調べる。こうした検索処理を監視すれば,ゾンビ・マシンを追跡することができる(関連記事:スパム・メール対策に「ブラックリスト」を使用する)。この手法では,複数のテクニックとヒューリスティック・ルール(発見的法則)を用いて,合法的なメール・サーバーが実行するDNSBLトラフィックと,ボットネットの検索による問い合わせを見分ける。
(2)IRCトラフィックの監視
IRCベースのボットネットを検出する最も簡単な方法の一つだ。IRCトラフィックを探知し,ボットネットのコマンドと一致するシグニチャを検索する。
(3)行動特性の確認
例えば,研究者のStephane Racine氏によると,IRCボットはチャット用IRCチャネルでほとんどの時間アイドル状態なのに,コマンドを受け取ると人間よりも素早く反応する,という特徴がある。
(4)PtoPネットワーク上でマルウエアのハッシュを検索する
中央に管理サーバーが存在しないPtoPボットネットの場合,インターネット上の感染ノードは,ボットネットとの関係が判明しているハッシュを検索することで特定できる。ノース・カロライナ大学シャーロット校コンピューティング情報学部の論文には,この手法による「W32/Nuwar」(Stormの亜種)感染マシンの追跡方法が説明されている。検索したハッシュのどれがボットに該当するかを判定するには,インターネット接続していない試験用ネットワーク上でボットを実際に動かして現在のハッシュを特定するか,あるいはボットのバイナリ・コードからハッシュ生成アルゴリズムを抽出し,ランダムな整数値と現在時間の限られた組み合わせを与えてハッシュ・セットを作らせればよい。
(5)攻撃トラフィックの監視
大規模なスパム送信や分散型サービス妨害(DDoS)攻撃のトラフィックを分析すると,感染したコンピュータの数が判明する。Shadowserverのグラフによると,2008年1月以降,DDoS攻撃の被害を受けたコンピュータが大幅に増えている。
結論として,今回とりあげた調査は,現在どれくらいのパソコンがボットに感染しているのかを算出するのには役立たなかったと言わざるを得ない。一つのボットネット内である一時点で活動するノードは推定12万〜15万台だが,総数の予測は困難だ。とはいえ,これらの調査は無意味でない。DDoS攻撃の増加が2008年の焦点となることは確実に分かる。また,これまで以上にボットネットが浸透していくのは間違いない。おそらく,割合は40〜50%に達するだろう。
Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,
マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログ
McAfee Avert Labs Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,
「Counting the bots」でお読みいただけます。