Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

ボット対策を議論「もはや感染予防ソリューションでは対応不可能」


サイバークリーンセンターの活動実績
 「Interop Tokyo 2007」で14日、総務省と経済産業省が2006年12月から共同で実施しているボット対策事業「サイバークリーンセンタープロジェクト」の成果と課題に関するコンファレンスが開催された。

 同プロジェクトは、ボットプログラムに感染したPCからのサイバー攻撃などを迅速・効果的に停止させることが目的。両省のほか、日本データ通信協会テレコム・アイザック推進会議(Telecom-ISAC Japan)、情報処理推進機構(IPA)、JPCERTコーディネーションセンター(JPCERT/CC)、大手ISPやセキュリティベンダーが参加している。

 2006年12月12日にはポータルサイト「サイバークリーンセンター(CCC)」を開設。ボット対策情報を発信するとともに、感染者にはボット駆除ツールを無償で提供している。また、ISPらの協力の下でハニーポットを設置。ボットプログラムを収集・分析することで感染者のIPを特定し、感染者に対してISPから注意喚起と駆除ツールの適用を呼びかけるメールも送信している。


ボット感染者へのアンケート結果、ウイルス対策ソフト未導入が大半

NTTコミュニケーションズの小山覚氏
 NTTコミュニケーションズの小山覚氏によれば、2007年3月末までにハニーポットで収集したボットプログラムの検体は延べ97万4,999体/3万1,082種。市販のウイルス対策ソフトで検知できないものも1,711種見つかった。

 検知できなかったもののうちの1,259種については駆除ツールで対応し、CCCのサイトで提供。駆除ツールは5万4,699回ダウンロードされ、5月末時点では10万ダウンロードを超えた。また、ISPから送信した注意喚起メールの対象者は7,916人で、メールの総数は1万483件に上った。このうちの23.5%が駆除ツールをダウンロードしたという。

 なお、駆除ツールをダウンロードしたユーザーは、CCCのボット感染者向けサイトから対策完了連絡を通知するようになっている。その際CCCでは、「ウイルス対策ソフトを導入していたか」「ボットウイルスを実際に駆除できたか」というアンケートをとっている。

 このアンケート結果によると、ボット感染者の大半がウイルス対策ソフトを導入していなかったという。ボットの駆除については、ISPからの注意喚起メールが届いてからすぐに対応したユーザーは駆除できる傾向が見られた。しかし、対応が遅れたユーザーのPCは、「感染してから時間が経過するほど、レジストリを書き換えられる可能性が高く、駆除ツールが役に立たなくなる」(小山氏)ため、駆除に失敗するケースが多いとしている。


ウイルス対策ソフトで検知できないボット、3カ月間で104種確認

今後の取り組みについて
 ボットプログラムを解析しているJPCERT/CCの椎木孝斉氏は、CCCで収集したボットプログラムの傾向を説明した。

 JPCERT/CCでは、機能が異なるボットプログラム20検体を抽出して、これらに対してリバースコードエンジニアリングを実施。その結果、共通のエンジンが使われていることがわかったほか、「MS04-011」や「MS04-012」などのセキュリティ修正プログラムを悪用するボットが多かったという。

 ウイルス対策ソフトからの検知を逃れるために、実行ファイルを圧縮・暗号化する「パッカーツール」が用いられているのも特徴だ。このほか、ソースコードに文字列を埋め込んだり、コマンドを暗号化するなどして「難読化」されているボットも少なくないという。

 なお、ボットには亜種が多いことから、ウイルス対策ソフトの定義ファイルでは対応できないこともあり、気付かないうちに感染するケースが少なくない。この点についてトレンドマイクロの平原伸昭氏は、「ウイルス対策ソフトの定義ファイルだけで対抗するのは難しい。ヒューリスティックエンジンや、アクセス先のサイトの信頼性を調べる『レピュテーション』など新しいアプローチと組み合わせる必要がある」と話した。

 これに対して、「もはや、感染予防ソリューションでは対応できない状況」と語るのは小山氏。2007年3月から5月までにハニーポットで収集したボットプログラムのうち、市販のウイルス対策ソフトで検知できなかった検体が3,726体/104種類に上ると指摘する。

 小山氏は、「感染を前提として、確実かつ迅速にボットを駆除することがポイントになる。現在も、脆弱な個人PCがインターネットの安全・安心を破壊している」と述べ、対策のためには、OS、ウイルス対策、ISP、政府の連携が重要になってくるとした。


JPCERT/CCの椎木孝斉氏 トレンドマイクロの平原伸昭氏
関連情報

URL
  Interop Tokyo 2007
  http://www.interop.jp/
  サイバークリーンセンター
  https://www.ccc.go.jp/

関連記事
ボット感染者6,005人に啓発メール、総務省がボット対策の実績公表(2007/04/25)


( 増田 覚 )
2007/06/14 20:13

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.