警察庁は25日、今年上半期(1~6月)に同庁サイバーフォースセンターの観測システムで把握したボットネットの観測結果を公表した。
同庁では今年1月から、ボットネットの実体を把握するためのシステムを構築し観測調査を行っている。今回公表したのは6月末までの観測結果で、この間にボットに感染したと思われる128万5,247件のIPアドレスが、240台の指令サーバの配下に置かれていたという。うち国内が発信元と思われるものは14万4,512件。アドレス数から感染実数を把握することはできないが、国内でも多くのマシンがボットに感染していると考えられ、ドメイン名からそのほとんどが個人ユーザのパソコンと推測している。
指令サーバは664アドレスあり、うち93アドレスが日本国内のもの。こちらも、個人ユ
ーザのパソコンと推測されている。ボットネットの指令は、40.3%が感染活動で、そのうちの65.3%が一昨年に公表されたWindowsのDCOMの脆弱性を狙ったものだという。攻撃活動は3.3%観測されており、そのほとんどがサーバのサービスを麻痺させるDoS(Denial of Service:サービス拒否)。攻撃対象は、46.1%が米国である。
同レポートは、最近は指令サーバの観測者対策が進み今後のボット数調査は困難になっていくと予想されるが、引き続き国内外の関係各機関との連携強化を含め、ボットネットの活動の把握に努めていくと結んでいる。
【解説:ボット(bot)】
ロボット(robot)に由来する「ボット」は、その名とおりパソコンを外部から操る目的で仕掛けられるウイルスの一種である。指令サーバは、IRC(Internet Relay Chat)と呼ばれる一般的なチャット用のサーバで、ボットに感染したパソコンは、この指令サーバに接続して攻撃者からの指示を待つ。ボットには、感染活動や攻撃活動、スパイ活動、メール送信活動などいろいろな機能が組み込まれており、攻撃者が指令サーバを通じて命令を下せば、配下の数百、数千、あるいは数万台というボットたちが、いっせいに活動を開始する。命令ひとつで大規模な悪事が実行でき、なおかつ直接悪事を働くのは、ボットに感染してしまった何も知らない第三者のパソコンたち。これが、ボットネットワークの大きな脅威だ。
(2005/10/26 ネットセキュリティニュース)
■平成17年上半期(1~6月)におけるbotnet観測システム観測結果[PDF](警察庁)
http://www.cyberpolice.go.jp/detect/pdf/20051025_botnet.pdf
■ボットネット(botnet)に注意果[PDF](警察庁)
http://www.cyberpolice.go.jp/detect/pdf/H170127_botnet.pdf
■セキュリティ関連ニュース
・IPA、一般向けに「ボット対策」「スパイウェア対策」のしおりを作成(2005/10/03)
・IPA、パソコンを外部から操る「ボット」への注意と対策を発表(2005/09/06)