バックナンバー一覧▼

• HOME
•  ＞＞ 特集

特集：
「ボットネット」の正体を探る
命令一発で大量の“ゾンビ”が動く 従来のウイルス対策が効かない

文／半沢 智（日経NETWORK）
2005年11月8日

　セキュリティ関連団体のセミナーに参加したときのこと。配られた調査報告書を目にして驚いた。それは「ボットネット実態把握プロジェクト調査結果」というもの。そこには、「国内ですでに40万～ 50万台のパソコンがボット化している」、「新種のボットが1日あたり70種類も出現している」といった、深刻な内容が書かれていたのだ（図1）。

図1　Telecom-ISACとJPCERT/CCが共同で実施した「ボットネット実態把握プロジェクト」でわかったこと

　そういえば最近、セキュリティ関連の取材をしていると、必ず「ボット」や「ボットネット」という言葉が出てくる。ボットって何者なのだろうか。というわけで、この実態調査を実施したTelecom-ISAC（テレコムアイザック　※1）に話を聞きに行った。

無数の「ゾンビ」が動き出す

　対応してくれたのは、この実態把握プロジェクトを指揮した企画調整部の小山覚（こやまさとる）副部長。普段の勤務先はNTTコミュニケーションズで、セキュリティに関する業務を担当している。

　最初に、「ボットとは何か」を聞いてみた。すると、「ボットとは、クラッカからの命令を受け、その命令に従って動作するプログラムのことです。パソコンの中に潜み、クラッカの命令を受けると動き出します。ボットに感染したパソコンのこともボットと言ったりします」と説明してくれた。突然ムクムクと起き上がって活動するゾンビのようだ（※2）。

　さらに聞くと、クラッカはこうしたボットを増やして組織化した「ボットネット」を作るという。ボットネットは、IRCサーバー（※3）とそのIRCサーバーに参加するボット群で構成される。クラッカは、IRCサーバーをボットへ命令を伝えるための手段として使い（詳しくは後述）、命令一発で大量のボットを操作するというのだ（図2）。「今、このボットネットが迷惑メールの配信やDoS攻撃（※4）に使われています」（小山副部長）。

図2　ボットネットはインターネット経由の大規模な不正行為に利用される 【クリックで拡大】

すでに40万台超がボット化している

　小山副部長には、実態調査の詳細な手法と結果も教えてもらった。

　調査は、国内のプロバイダ、セキュリティ・ベンダー、ウイルス対策ソフト・ベンダーが協力して実施した。インターネットを流れる怪しいパケット(※5)をおとりサーバーに誘導して、おとりサーバーをボットに感染させ、ボットのプログラムを採取した。調査期間は、2005年4月1日～5月12日の42日間である。

　この結果、おとりサーバーがつかまえた不正プログラムのうち、8割がボットのプログラムだったという。確認できたボット・プログラムの数は3万1846個で、3705種類にのぼった。この3705種類のうち、2938種類が新種のボット(※6)だった。新種のボットが毎日約70種類も出現している計算だ。

　また、実態調査に参加したプロバイダから、ボットに感染していると思われるユーザーの割合をヒアリングした結果、いずれのプロバイダからもユーザー全体の2～2.5％がボットに感染しているとの報告が得られたという。国内のブロードバンド回線ユーザーが2000 万人だとすると、40万～50万人が感染していることになる。これが調査報告書にあった「すでに国内で40万～50万人がボットに感染している」という根拠である。

1 2 3 4 5 次のページ

• 緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「３つのポイント」＋「１」 (2009/04/30)
• 3月リンク集：オフィスセキュリティ (2009/04/01)
• 2月リンク集：身近にある危機 (2009/03/01)
• 1月リンク集：米国と日本 (2009/01/30)
• 12月リンク集：歳末の防犯・防災 (2008/12/25)

04/30 もっとも読まれた記事ベスト10

第1位

緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「３つのポイント」＋「１」

第2位

森永 卓郎氏：似ているようで全く異なる与党と民主党の景気対策

第3位

親野 智可等氏：「プロの親」なら知っておきたい、子どもを「勉強好き」にする教科書活用「裏技」とは

続きはこちら▼

記事検索

SAFETY JAPAN メール