ボットネットの怖さを“体感”，国が本腰を入れる対策プロジェクトとは？

日経NETWORKで 「ボットネット」に関する記事を執筆した。最近，雑誌やニュース・サイトでよくボット関連の記事を目にするし，セキュリティ関連の取材をしていても「ボット」というキーワードが出てくる。ただ，その実態がよく分からない。いったいボットとは何で，どこが問題になっているのかを明らかにしたかった。（ボットの概要は関連記事が参考になる）

筆者が取材を始めるにあたって，一つ心の中でモヤモヤしていたことがあった。それは，「ボットネットは本当に危険なのだろうか？」ということだ。ほかの雑誌や識者の講演などで「危険だから注意を怠らないように」という言葉をよく目や耳にする。多くを取材した記者や業界の識者が言っているのだから，その言葉に間違いはないだろう。でも，自分がそうした気持ちにならないと，少なくとも自分の記事で「危険です」とは書けない。

そこで今回，数社のベンダーに理由を話して，「ボットネットが動作するデモを見せてください」とお願いしてみた。多くのベンダーからは，「デモ環境が整わない」，「セキュリティ上お見せできない」などの理由で丁重に断られてしまったが，唯一「デモを見ることで脅威を実感し，これを対策に生かしたりユーザーの意識を高められたら幸いです」と，了承してくれたベンダーがあった。この場を借りて，セキュアブレインの星沢裕二プリンシパルアナリストに感謝したい。

ボットの怖さをデモで実感

ボットネットのデモの内容は以下である。

ネットワークの構成は，4台のパソコンをLANでつないだ構成である。パソコンはそれぞれ，クラッカ用パソコン，IRCサーバー用パソコン，ボット感染パソコン，攻撃対象のWebサーバーを見立てている。ボット感染パソコンは，SDBOTと呼ばれるボットに感染している。

星沢さんに操作してもらったのは，クラッカ用のパソコン。そこにはIRCのクライアント・ソフトが入っている。画面は何の変哲もないチャットの画面だ。ここに，「.sysinfo」という文字列を入力すると，ボット感染パソコンのOSの種類，ログイン・ユーザー名などが画面に表示された（図1[拡大表示]）。チャットでボットに命令が伝わり，ボットがそれを理解して応答を返してきたのだ。

ボットの怖さを実感したのが，「.syn」という命令を実行してもらったときである。この命令は，SYNフラッドという攻撃を指定したあて先のコンピュータに仕掛けるコマンドである。パラメータとして，攻撃対象にするLAN上のWebサーバーのIPアドレスと，攻撃を続ける秒数を入力して命令を実行した。すると，ボット感染パソコンが，命令のまま大量のパケットを送り付けたのだ。この攻撃を受けたサーバーは即座にサービス不能になった。

命令一発であらゆる攻撃が思いのまま---。その手軽さに驚くとともに，怖さを実感した。インターネットには，こうしたボット感染パソコンが40万～50万台もあると言われている（関連記事）。命令一発で，プロバイダの回線をパンクさせることだってできてしまうだろう。そう思うと背筋がゾッとした。

断言しよう，ボットは怖い。インターネットを危険な場に変える怖さを持っている。 [全文]