総務省と経済産業省は12日、“ボットプログラム”と呼ばれるマルウェア(悪意のあるソフトウェア)の一種について、被害の拡大を阻止する“ボット対策プロジェクト”を立ち上げ、その開始式を都内で開催した。また同日、ボット対策ポータルサイト“サイバークリーンセンター(CCC)”を立ち上げた。
 |
|---|
| “ボット”の悪用イメージ。ちなみにボットの語源は“Robot”とのこと |
ボットとは、ボットプログラムに感染した複数のパソコンがネットワークを構築し、特定のサイトやネットワークに対してDDoS(Distributed Denial of Service)攻撃などを行なう一連の行動のこと。ボットプログラムはネットワークを介してユーザーのパソコンに感染し、感染したパソコンはユーザーの意図に関係なく(というよりユーザーが知らないうちに)、外部の指令サーバーによってリモートコントロールされる。これにより、犯罪組織などが計画的にDDoS攻撃などを仕掛けることが可能になる。ちなみに指令サーバーにもボットプログラムに感染したサーバーやパソコンが利用されるという。
総務省などが2005年3月に実施した調査によると、日本のISP(インターネットサービスプロバイダー)を利用しているユーザーのパソコンうち、約2~2.5%がボットプログラムに感染しているとし、その数はおよそ40~60万台にもなるという。この事態を重く受け止めた両省が今回のプロジェクトを5年計画で立ち上げた。なお、国家を挙げてボット対策に乗り出すのは日本が始めてで、これを国際的な対策に広めたい考えだという。
対策の要は“ハニーポッド”と“オーダーメイド治療”
具体的な対策としては、まず“ハニーポッド(捕獲装置)”と呼ばれる、おとりとなるパソコンを用意。これに日本国内の大量のIPアドレスを割り当て、ボッドプログラムを収集する。“捕獲”したボッドプログラムは内部解析され、通信特性などを割り出す。この通信特性を元にボットに感染したパソコンを割り出し、ISPを経由してパソコンのユーザーに感染している旨を告知する。
 |
|---|
| サイバークリーンセンターは一般ユーザー向け告知ページと対策が必要なユーザー向けページの2種類が用意されている |
 |
|---|
| 感染パソコンの所有者に送られるメールのイメージ。プロバイダーの名義で送付される |
告知は契約ISP名義のメールで行なわれるが、その際にサイバークリーンセンターの対策ページに誘致し、“オーダーメイド治療”を薦める。オーダーメイド治療と銘打っているのは、対策ページが告知を行なったユーザーごとに個別に用意されているからで、感染したボットプログラムに合わせて対策ツールなどが個別に提供される。
さらに、捕獲したボットプログラムは感染や攻撃など、他者に迷惑をかけない状態にして動的に保存。これを“検体”と呼び、新たに配布されるボットプログラムの捕獲に役立てる。
プロジェクトのスケジュールは、まずサイバークリーンセンターの一般ユーザー向け告知ページ(https://www.ccc.go.jp/)が本日立ち上がり、15日に1回目の運用トライアルが開始される。実際にボット感染パソコンの所有者に告知メールを送り、サイバークリーンセンターの対策サイトに誘導する。その後2回目のトライアル運用を1月25日前後で実施し、本格運用は2月以降となる。本格運用時で毎月1000ユーザー程に告知メールを送信する予定だという。
プロジェクトに参加する団体とその役割
 |
|---|
| ボット対策プロジェクトの全体像 |
今回のプロジェクトには両省以外にも、以下の団体が参加している。
- NTTコミュニケーションズ(株)
- 日本データ通信協会 Telecom-ISAC(アイザック) Japan
- 情報処理推進機構(IPA)
- JPCERT コーディネーションセンター
サイバークリーンセンターの運用はNTTコミュニケーションズが行ない、JPCERTがISPなどと協力してボットプログラムの解析や対策情報の作成などを行なう。IPAはセキュリティーソフトベンダーに対し、収集した検体を配布するなどのボット感染予防策の強化および再発防止に努め、ISACはオーダーメイド治療のシステム運営を担当する。
 |
 | |
|---|---|---|
| 総務省 政策統轄官の寺サキ 明氏(左)と経済産業省 商務情報政策局 審議官の西川 泰蔵氏(右) | ||
開始式では、総務省 政策統轄官の寺サキ(※1) 明氏が壇上に上がり、ボットについて「ユーザー自体が感染を知らない」ことを挙げ「事態は深刻」であるとの認識を示した。また経済産業省 商務情報政策局 審議官の西川 泰蔵氏は「ITを安心して使える、というのが重要な課題」だとし「世界と協力して最優先で取り組む課題であろう」と語った。
※1 山偏に立に可 |
 | |
|---|---|---|
| ISAC Japanの有村浩一氏(左)とJPCERT コーディネーションセンターの伊藤 友里恵氏(右) | ||
 |
|---|
| 対策のきっかけとなった事例 |
そのほか、ISAC Japanの企画調整部 部長 有村浩一氏が今回のプロジェクト発足のきっかけとなった事例を紹介。2004年10月にISPに対し、大量の“不達通知”が到着し、メールサーバーがダウンするという事態に発展した。原因は、あて先がランダムに(でたらめに)設定され、かつ送信元が(被害にあったISPとして)詐称されたスパムメールが大量に送信されたためで、それらが一気に戻ってきた結果だった。調査してみると、本当の送信元IPが数百~数千にも上ったため、ボット感染パソコン(当時はゾンビPCと呼ばれていた)によるものだと推定したという。
 |
|---|
| 暗号化などの仕組みがボットの自己防衛として利用される |
また、JPCERT コーディネーションセンターで業務統括を行なう伊藤 友里恵氏によると、ボットプログラムは
- 感染
- 情報収集(アカウント情報奪取など)
- 攻撃(DDoSなど)
- 自己防衛(暗号化など)
- 遠隔制御・管理(バージョンアップなど)
などの機能を備えており、アンチウィルスソフトのプロセスを止めたり、更新ファイルのダウンロードを阻害したりするなどユーザーが発見しにくい状況であることを指摘。さらにボットプログラムはソースが公開されており、無数の亜種が存在する。この状況がターゲット特定型攻撃の温床になっており、「マルウェアが本格的に実用段階に入った」と分析した。
