パシフィコ横浜で開催中の「Internet Week 2006」で7日、日本ネットワークセキュリティ協会(JNSA)、JPCERTコーディネーションセンター(JPCERT/CC)、日本データ通信協会のTelecom-ISAC Japanの主催による「Security Day 2006」が開催された。午後のセッションではTelecom-ISAC Japanの小山覚氏が、ウイルス「Antinny」によるDDoS攻撃への取り組みを紹介した。
● ACCSのサイトに繰り返されるDDoS攻撃への対策
|
Telecom-ISAC Japanの小山覚氏
|
Telecom-ISAC Japanでは、コンピュータソフトウェア著作権協会(ACCS)のWebサイトが受けているDDoS攻撃に対して、2004年から継続的に対策を取っている。これは、WinnyなどのP2Pファイル交換ソフトを対象としたウイルス「Antinny」に感染したPCが、ACCSのサイトに対してアクセスを繰り返す挙動を示すため、ACCSのサーバーに大量のパケットが殺到することにより発生する問題だ。
Telecom-ISAC Japanでは、大手プロバイダーを中心にACCSサイトのDNS情報を書き換え、攻撃用パケットを破棄する対策を2004年6月から実施。これにより攻撃を回避することはできたことから、2004年8月と9月にはAntinnyの攻撃能力を測定した。この測定により、AntinnyのDDoS攻撃は最大で700Mbpsを上回る威力であることが判明した。
小山氏は、「どうせへなちょこワームが攻撃しているんだろうというぐらいに考えていた。裏山でタヌキが悪いことをするから捕まえてやれと思って罠をしかけたら、熊や恐竜といった恐ろしいものが出てきたようなもの。見なければよかったと思った」と語り、DDoS攻撃の威力を説明。この攻撃は月額数千円程度のホスティングサイトに対して起こっており、回線増強などの対策はビジネスとして成り立たないが、「こうした状況で被害者がインターネットから追い出されていくのは不健全であり、プロバイダーとして許すことはできない。やれるだけのことはやっていこう」として、各種の対策に乗り出したとした。
最初に取った対策は、DDoS対応のファイアウォールを試験的に導入し、攻撃トラフィックが防御できるかをテストするというもの。これを2005年3月に行なったところ、攻撃の99.6%はブロックできることが確認できたが、やはり対策としてはコストがかかるという問題も残った。
次の対策としては、ACCSのサイトに攻撃を行なっているIPアドレスを記録し、その情報を元に各プロバイダーが該当ユーザーに対してウイルス対策を呼びかけるメールを送信するというものだ。これには数%のユーザーが反応したものの、全体で見れば攻撃通信は減少せず、ユーザーに受け入れやすい注意喚起方法の検討や、強制的にウイルスを駆除する仕組みが重要であるという結論に達したという。
そこで、Telecom-ISAC Japanではマイクロソフトにコンタクトを取り、Windowsの「悪意のあるソフトウェア駆除ツール」によるAntinnyへの対応を要請。2005年10月からこの対応が開始されたことにより、2005年11月には攻撃が前月比で39.8%減少するという成果を見せた。
マイクロソフトによれば、11万台のPCからAntinnyを駆除したという報告があったが、依然として28万台程度のPCがAntinnyに感染していると考えられることから、Telecom-ISAC Japanでもさらに対策を検討。また、一旦は減少した攻撃も、大量の亜種の登場などから2006年2月には再び急増するようになってしまった。
|
|
AntinnyによるACCSサイトへのDDoS攻撃は700Mbps以上に達した
|
対策により攻撃は一旦減少したが、Antinnyの亜種が大量に登場したことなどにより再び急増
|
● 感染ユーザーに注意喚起メールを送付することで一定の効果
|
注意喚起メールの送付などにより攻撃は徐々に減少
|
そこで、2006年2月からは、小山氏が「もぐら叩き大作戦」と呼ぶ対策を実施することとなった。この作戦は以前にも実施した、ACCSサイトへの攻撃者に対するメール送付の対応をさらに強化したものだ。まず、マイクロソフトとトレンドマイクロの協力により連動コンテンツを作成するとともに、各ユーザーが対策を行なったかを追跡できるトラッキングシステムを導入した。各ユーザーにIDを付与し、メールを受け取ったユーザーが対策サイトにアクセスしたかなどを確認できるようにして、対策の済んでいないユーザーには再度注意喚起のメールを送るなどの細かい対応を実施した。
これにより、ACCSサイトへの攻撃は徐々に減少しており、対策の効果は上がっているとしながらも、小山氏は「こうした対策ではメディアとの連携が重要だと認識した」と語る。これは、当時の安倍晋三官房長官がWinnyの使用禁止を呼びかけたことなどからテレビのニュースで扱われる機会が増え、それによってTelecom-ISAC Japanのページビューも大幅に増加するなど、マスメディアの影響力によって対策を行なったユーザーも多いと説明。ただし、注意喚起メールを送付したプロバイダーとそうでないプロバイダーではユーザーの対策率に差が出ており、地道な活動も一定の成果は出ているとした。
今後の課題としては、ユーザーの再感染をどのように防ぐかという問題がある。小山氏は、本質的には著作権侵害コンテンツが流通しているということがユーザーのウイルス感染につながっているとして、違法コンテンツのファイル交換を抑制する取り組みなども検討していきたいとした。
小山氏は、「DDoS対策は『ローテク・ハイスキル』。高度な技術よりも、今回説明したようなプロ集団の取り組みが求められている」と説明。また、ユーザーへの呼びかけとしては、「お正月にPCをきれいにしましょう。思い切ってOSを再インストールすると、ボットやマルウェアもいなくなります。これを私もやりますので、みなさんも周りの人に働きかけてください」とコメント。会場からは「OSの再インストール時は、一番ウイルス感染の危険があるのでは」と質問があったが、小山氏は「そうした部分も含めて、知識のある人が側にいて説明をすることで、各種のセキュリティ対策を理解していただく機会にしていただきたい」と答え、講演は終了した。
関連情報
■URL
Internet Week 2006
http://internetweek.jp/
Telecom-ISAC Japan
https://www.telecom-isac.jp/
■関連記事
・ ACCSのWebを停止に追い込んだ700Mbpsを超えるDDoS攻撃の実態(2004/12/02)
・ マイクロソフト、ウイルス駆除ツールで20万以上の「Antinny」を駆除(2005/11/21)
・ Telecom-ISAC Japanが「ANTINNYウイルス対策サイト」開設(2006/03/15)
・ ボットネットの“優秀性”を確認、真剣な対応が必要~Telecom-ISAC Japan(2006/04/26)
( 三柳英樹 )
2006/12/07 20:15
- ページの先頭へ-
|