6月中旬、米連邦捜査局(FBI)が、ボットネットを撲滅するための取り組みを開始しました。ボットネット(ロボット・ネットワーク)とは、「ボットハーダー(botherders)」「ボットマスター(botmasters)」と呼ばれる犯罪者によって遠隔操作される、マルウェアに感染したコンピュータ(ボット)の集まりのことを言います。ボットハーダーは、これらの感染コンピュータをリモートから操作して、悪意ある Web サイトをホストする、DDoS 攻撃(分散サービス妨害)を仕掛けるなどの不正活動を行います。
「Operation: Bot Roast」(ボット・ロースト作戦)と呼ばれるこの継続的な取り組みは、FBI を中心に CERT Coordination Center や Botnet Task Force などの組織が協力して展開しているもので、ボットハーダーを特定し、その活動を停止させることを目的としています。ボットに感染していることが確認されたコンピュータの IP アドレスは、現在までに全米で約100万個に上ります。
FBI では、これらコンピュータの所有者に、ボットに感染していることを通知しています。これにより、ボットネットが別のサイバー犯罪に利用されている新たな事例が明らかになるかもしれません。また6月26日には、薬に関する膨大な量のスパム・メールを送信している大規模なスパム・ボットネットを発見したと National Cyber-Forensics and Training Alliance(NCFTA)が報告していることから、感染コンピュータ所有者への通知が急務となっています。NCFTA は、引き続きこのボットネットの監視と分析を進めているところです。
被害者のほとんどは感染に気付いていない
ボットに感染しているコンピュータを所有するユーザの大半は、そのことに気付いていません。これら不用心な被害者は、意図せずコンピュータへの不正アクセスを許してしまい、フィッシングやスパイウェアの大量配布といったさらなるサイバー犯罪を行うための踏み台として自らのコンピュータを利用させてしまっているのです。ボットネットは、広い範囲にまたがって構築されることから、経済、国家情報基盤、および国家安全保証に対する影響が懸念されています。その中でも特に重大視されているのは、国家安全保障に与える影響です。「Operation:
Bot Roast」が計画されたのも、拡大を続けるボットネットが、国家安全保障にとって大きな脅威になる可能性があるという危惧が広まったからです。ボットハーダーは、ボットネットを自ら利用することもあれば、最高金額を提示した入札者に貸し出すこともあります。「顧客」への貸出料金は、ボットネットの規模が大きいほど高額になります。こうした顧客がボットネットを利用して何をしようとしているのかについては、確かなことはまだ分かっていません。
ボットハーダーはハッカー
ボットハーダーは、ユーザが気付かないうちにインターネットを介してコンピュータに悪意あるソフトウェアをインストールするという点で、ハッカーと何ら変わりありません。ボットハーダーは、ソフトウェアをコンピュータにインストールすることで、それらをリモートからコントロールできるようにします。こうした感染コンピュータがある程度の数になれば、それがボットネットになるというわけです。ボットネットの中には、数万台以上のコンピュータで構成された非常に大規模なものも存在します。
ボットハーダーは、ボットネットを利用して次のようなさまざまな活動を行います。
- 膨大な量のスパム送信
- クリック詐欺(Web サイトの訪問者数を人為的に水増しする行為)
- DDoS 攻撃(大量の同時アクセスを行うことでWebサーバを応答不能にしたり Web サイトをダウンさせたりする攻撃)
ボットネットの被害に遭っている場合、ボットネットに関する情報がある場合は届け出を
FBI は、調査を続けていけばさらなる被害者を特定することができるだろうとしています。その間、次のような場合には然るべき機関へ届け出るようにしてください。
- 自社のコンピュータがボットに感染していることが判明したら、FBI の Internet Crime Complaint Center へオンラインで届け出る。
- ボットネットの起点となっているドメインまたは IP アドレスに心当たりがある場合は、Internet Security Operations Task Force (ボットネットやフィッシング・サイトなど、インターネット技術の悪用事例を撲滅するために活動する業界、政府、および学界のセキュリティ専門家らで構成されるサイバー犯罪対策組織)に届け出る。
自己診断は困難だが予防対策は可能
このサイバー犯罪に対処することが困難である理由の1つに、コンピュータがボットに感染しているのかどうかがユーザには分かりにくいということが挙げられます。残念ながら、ボットへの感染を簡単に見分ける方法はありません。ただし場合によっては、コンピュータの動作が遅くなる、メーラーの送信ボックスが送った覚えのないメールで一杯になっているなどの症状が出たり、あるいは「あなたのところからスパムが送られてきている」との指摘を受けたりすることで、感染が判明することもあります。
FBI のアシスタント・ディレクターで同サイバー犯罪部門の責任者を務める James E. Finch 氏は、「ボット感染者の大半は、自分のコンピュータが乗っ取られていることや個人情報を盗まれていることに気付いていません。攻撃者は、ウイルスなどの悪意あるコードに感染させることによってコンピュータをコントロールできるようにしますが、その後もコンピュータは普段と変わらず動作します。ユーザは、コンピュータのセキュリティ対策を適切に実施することで、ボットネットなどの脅威から自身を守ることができます」と述べています。
適切なセキュリティ対策とは、次のようなことです。
- アンチウイルス・ソフトウェアを定期的にアップデートする。
- ファイアウォールを導入する。
- 簡単に破られないパスワードを使用する。
これらの対策を実践したとしても、すでにボットに感染しているかどうかを見分けたり、ボットを駆除したりできるとは限りませんが、今後の被害を防ぐためには有効です。そのため FBI では、Application Intelligence を備えるVPN-1 や IPS-1 といったさらなる予防的セキュリティ・ソリューションの導入を推奨しています。ことわざにあるとおり、「予防は治療に勝る」ということです。
その他のボットネット対策リソース