Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

ボットはWeb経由で感染する傾向に、Telecom-ISAC JAPAN有村氏


「Telecom-ISAC JAPAN」企画調整部部長の有村浩一氏
 メールの運用に関するセキュリティ対策に特化したイベント「Email Security Conference 2007」が27日・28日、東京・神田のベルサール神田で開催されている。27日には、国内主要ISP・通信事業者で構成されるセキュリティ団体「Telecom-ISAC JAPAN」企画調整部部長の有村浩一氏が、同団体などが推進するボット対策プロジェクトの取り組みを紹介した。

 ボット対策プロジェクトは、総務省と経済産業省の共同プロジェクトとして2006年12月にスタート。ボット対策を推進するためのポータルサイト「サイバークリーンセンター(CCC)」を開設し、ボットの検体の収集・解析、ボット感染者への通知、ボット駆除ツールの無償提供などを行なっている。同プロジェクトは、Telecom-ISAC JAPANのほかJPCERT/CCとIPAが推進し、ボット対策業務についてはプロバイダー65社とセキュリティベンダーが協力している。

 ボットはウイルスの一種で、感染するとPCがインターネットを通じて攻撃者により遠隔操作されてしまう。さらに、攻撃者が用意した指令サーバーなどに自動的に接続され、数百~数万台のボット感染PCを従えた「ボットネット」と言われる巨大ネットワークの一部となる。攻撃者がボットネットワークに指令を出すことで、ボット感染PCはさらなる感染活動やスパムメール送信、DDoS攻撃などの活動を行なうことになる。


ボット対策プロジェクトの概要 ボットネットの概要

ボット感染者への注意喚起メール、実際に対応するユーザーは3割

ボットの現状

CCCの運用業務の流れについて
 Telecom-ISAC JAPANが2005年に実施した調査によれば、国内では40万~50万台(全体の2~2.5%)のPCがボットに感染。セキュリティ対策を実施していないPCがインターネットに接続すると、約4分でボットに感染するという。また、インターネットで広まる悪質なプログラムの約8割がボットとされており、現在では1日あたり100種程度の新種ボットがCCCによって捕獲されている。

 なお、CCCでは、ボットを捕獲するためのハニーポット(おとりPC)を用意してボットの検体を捕獲して分析。この検体をもとに駆除ツールを作成し、週1回のペースで駆除ツールを更新している。さらに、検体に残されたログをプロバイダーに提供し、感染ユーザーの特定を依頼。これを受けたプロバイダーは、感染ユーザーに対して注意喚起メールを送信している。

 注意喚起メールでは、ボットに感染した旨を通知するとともに、ボット対策サイトのURLを記載。このURLにはユーザー毎に個別のIDが付与されているが、これは、感染ユーザーがボット対策ページにアクセスしたか、その後ボット駆除ツールをダウンロードしたか、などを追跡し、対応しないユーザーに対しては再度注意喚起メールを送信するためだ。

 2007年9月度のCCC活動実績によれば、収集した検体は546,239体(これまでの累計は4,322,548体)、重複を除いた検体数は10,665体(同108,450体)、市販のウイルス対策ソフトで検出できなかった未知の検体数は639体(同5,984体)に上る。駆除ツールに反映した検体数は260体(同4,728体)で、これまでに35回にわたり駆除ツールを更新してきたという。

 また、ボット感染者に送信した注意喚起メールは16,954通(同128,351通)、対象者は6,887人(同34,973人)。9月の受信者6,887人のうち、3,223人が新規の感染者だった。さらに、ボット対策サイトから駆除ツールがダウンロードされたのは19,021回(同206,422回)だが、注意喚起メール受信者が駆除ツールをダウンロードする割合は、累積で31%にとどまっているという。「一般のダイレクトメールでは開封率が2~3%。これを考えると優秀な部類に入るが、ダウンロード率は頭打ちの状況」(有村氏)。


ボット感染者に送る注意喚起メール例 ボット対策サイト

CCCの活動実績 ボット対策サイトからの駆除ツールダウンロード数の推移

ボット感染手法は「脆弱性攻撃型」から「Web感染型」へ

ボット感染手法は「脆弱性攻撃型」から「Web感染型」へシフトしている
 CCCが最近開始した新たな取り組みとしては、効率的なボット収集に関する検討を紹介。具体的には、ハニーポットで採用するOSについて、従来のWindows 2000だけでなくXPに拡大するとともに、検体を収集する地域を増やす実験を行なった。

 それによれば、2000とXPでは収集される検体がほぼすべて異なり、地域別で見た場合でも、新たに設置した場所の方が未知の検体(新種のボット)が比較的多く捕獲できるなどの実験結果が出てきた。そのため、現在ではハニーポットの対応OS種別を増やすとともに、ハニーポットの検体収集エリアの拡大に向けた検討を進めているという。

 また、ボット感染手法の推移を分析したところ、従来の「脆弱性攻撃型」から「Web感染型」にシフトしていることが推測されたという。Web経由で感染するボットが増えた理由について有村氏は、「攻撃者から見てもWebは理想的な媒体であるため」と説明する。

 最近では、ルータを導入するユーザーが増えたため、外部から脆弱性を突く攻撃の対象ユーザーが減少。一方、ルータの配下にはウイルス対策やWindowsのセキュリティパッチを適用していない脆弱のPCが増えている。ゲートウェイでのウイルス対策においても、メールでのウイルス検索は一般的に行なわれているが、Webコンテンツのフィルタリングは行なわれることが少ない。こうしたことから、Web閲覧者を狙った攻撃が増えているのだという。


ボット感染者のメールに悪意のある署名が挿入される手法も

ソーシャルクラック手法のウイルス
 さらに、現在調査中の手法として、「ソーシャルクラック手法」のウイルスを紹介。これは、ボットウイルス感染者が送るメールに、ボットが勝手に署名を挿入してしまうというものだ。署名に付けられたURLをクリックすると悪意のあるサイトに誘導され、ウイルスに感染する恐れがあるという。

 これまで、特定のユーザーを狙う標的型攻撃では「悪意のある人が作ったタイトル+本文」といった手法が用いられていたが、このケースでは「友人が作成したタイトル+本文」という手法を取っていることが特徴だ。有村氏は、「日本語表示で友人から届いたメールで『ブログ始めました』という署名とともにURLが記載されていたら、クリックする人は多いだろう」として危機感を示した。

 今後の課題としては、注意喚起メール受信者の駆除ツールダウンロード率を向上させることを挙げる。有村氏によれば、一部プロバイダーでは、注意喚起メール受信者のダウンロード率が50%を超えるところもあるが、全体的には7割のユーザーがダウンロードには至らないという。

 ダウンロード率向上につながる対策としては、メール以外にも電話や封書などで告知する新たな対応方法を検討するとした。また、CCCに参加するプロバイダーを拡大することで、より多くのユーザーにボット対策の重要性を広めるとともに、検体収集能力を高めていきたいと話した。


関連情報

URL
  Email Security Conference 2007
  http://www.cmptech.jp/esc/index.html

関連記事
迷惑メール対策ブラックリストの功罪について「Spamhaus」と国内ISPが議論(2006/11/30)


( 増田 覚 )
2007/11/27 16:10

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.