ボット感染ユーザーにISPが注意喚起、CCCの取り組み


 電子メールのセキュリティ問題に関するイベント「Email Security Expo & Conference」の27日の講演では、ボット対策プロジェクト「サイバークリーンセンター(CCC)」の取り組みと、迷惑メール対策の資料をまとめた「迷惑メール対策ハンドブック2009」が紹介された。

ボット駆除プロジェクトは一定の成果、今後の課題は危険な通信のブロック

CCCのボットシステム運用グループディレクタを務める小山覚氏

 CCCは、総務省と経済産業省の連携事業として2006年12月に活動を開始。ボットに感染していると思われるPCのユーザーに対して、ISPから注意喚起を行って無料で駆除ツールを配布しているページにアクセスしてもらい、ボットをPCから駆除してもらう活動を行っている。

 CCCのボットシステム運用グループディレクタを務める、NTTPCコミュニケーションズの小山覚氏は、これまでの活動実績を紹介。2007年2月~2009年9月末の累計で、9万439人のユーザーに計43万4454通の注意喚起メールを送付。注意喚起を行ったユーザーの30%が駆除ツールをダウンロードしたという。また、駆除ツールは一般にもWebサイトで公開しており、これまでに累計で101万6376回ダウンロードされている。

 同時に、CCCでは、ハニーポット(おとりマシン)を使うなどしてボットプログラムを収集しており、これまでに1516万5119件、95万673種類の検体を収集。この中から、危険度が高く感染者の多いボット2万1383種類について、駆除ツールでの対応を行ってきた。

 また、ボットに感染していると思われるユーザーへの注意喚起方法として、OCNが電子メールだけでなく郵送で注意喚起を行ったところ、対策サイトへの訪問率がそれまでの40%台から80%台まで向上した事例を紹介。小山氏は、「ISPからのメールを見ないユーザーは意外と多く、郵送は効果がある」としたが、封筒の開封率を上げる目的でCCCのマスコットキャラクターとメッセージが描かれたシールを封筒に貼り付けたところ、逆に広告目的のダイレクトメールと間違われ、サイトへの訪問率が減少したという事例も紹介。「事実を淡々と伝えることの重要性を改めて認識した」と語った。

CCCの活動実績。これまでに計9万人に注意喚起を実施した封筒の開封率を上げる目的でシールを貼ったが、サイトへの訪問率は逆に低下

 こうした取り組みなどにより、2005年4月の調査では国内のボット感染率は2~2.5%、推定感染者数は40~50万人という状況だったが、2008年6月の調査ではボット感染率は1%以下、国内の推定感染者数は30万人となった。マイクロソフトが定期的に発表しているボット感染率でも、日本は世界で最も感染率が低い国という調査結果となったが、2009年上半期の調査では感染率がやや増加しており、マルウェアをホスティングしているサイトの割合は世界でも中程度だとして、引き続き対策が必要だとした。

 小山氏は、今後インフラ側で検討すべき対策として、ボットの感染活動など明らかに危険な通信をネットワーク上でブロックする手法を挙げた。ハニーポットによるボット検体の収集では、試験的にTCP 135番ポートをブロックしたところ、検体収集数が著しく低下することが確認されたという。また、最近ではWebサイトの改ざんなどによりマルウェアを配布する攻撃が多いことから、こうしたマルウェア配布サイトへのアクセスをISP側でブロックできるシステムについても、2009年12月から実証実験を行うという。

 小山氏は、「これまでの取り組みで、クライアントのセキュリティレベルは世界最高の水準まで上がったが、公開サーバーのセキュリティレベルも向上させ、インターネット環境を世界最高のセキュリティレベルに上げていきたい」と説明。ただし、ISP側で通信のブロックを行うことは、「ユーザーの同意を得ずに勝手にやると、電気通信事業法違反となる可能性があるので、そうした議論を総務省とも進めており、今後ガイドラインの整備などを行っていく」と語った。

ボット感染率は2~2.5%から1%以下に低下マルウェア配布サイトへのアクセスをブロックする実証実験を開始

日本の迷惑メールは「出会い系」が約9割

日本データ通信協会の熊田和仁氏

 日本データ通信協会の熊田和仁氏は、迷惑メールの対策などをまとめた「迷惑メール対策ハンドブック2009」の内容を紹介した。

 「迷惑メール対策ハンドブック2009」は、一般向けの迷惑メールの現状や対策に関する資料。ISPや広告事業者、配信ASP事業者、セキュリティベンダーなどからなる「迷惑メール対策推進協議会」によって2009年10月にまとめられた。迷惑メールの定義、現状、制度的・技術的な対策、今後の取り組み、用語集などが掲載されており、PDFファイルで一般にも公開されている。

 迷惑メールの現状としては、2007年~2008年には中国を発信源とする迷惑メールの割合が約40~50%と高かったが、2009年には20%台に低下。一方で、2009年にはブラジル発の迷惑メールが増えるなど、発信国は世界各地に広がっており、国際的な連携がさらに必要とされているとした。

 また、迷惑メールの傾向としては、世界ではインターネット関連の広告や医療関係の広告が多いが、日本では89.8%が出会い系のメールとなっている点が挙げられるという。

 迷惑メール対策としては、日本のISPではメールの送信に使われるTCP 25番ポートのプロバイダー外へのアクセスをブロックする「OP25B」の導入が進むにつれて、迷惑メール送信国ランキングの順位も下がるなど、着実な成果を上げていると説明。一方で、日本への迷惑メールの9割以上は海外から送信されているため、国際連携を進めていくことが重要だとした。

日本に来る迷惑メールの発信国迷惑メールの約9割は出会い系

関連情報

(三柳 英樹)

2009/11/27 16:34