サイバー犯罪のインフラとなっている「ボットネット」。ネット関連企業やセキュリティベンダー、各国の司法当局などは協力し、大規模なボットネットを次々と「テイクダウン(使用不能にすること)」している。だが、攻撃者も負けてはいない。テイクダウンを避ける仕組み「ファストフラックス」を編み出して対抗している。

 不正送金やDDoS攻撃(分散サービス妨害攻撃)、スパム送信といったサイバー攻撃のインフラとなっている「ボットネット」。攻撃者はボットネットを“活用”し、企業や個人ユーザーに大きな被害を与えている。そこでネット関連企業やセキュリティベンダー、各国の司法当局などは協力し、大規模なボットネットを次々と使用不能にしている。

 ボットネットを使用不能にすることは「テイクダウン(Takedown)」と呼ばれている。テイクダウンには様々な方法がある。その一つは、各PCに感染しているウイルスを全て駆除することだ。だが、一つのボットネットにつき数百万台に上ることもあるウイルス感染PC全てを、一度にクリーンな状態にすることはまず不可能だ。

“司令塔”がボットネットの弱点

 そこで、ほとんどのテイクダウンでは、ウイルスそのものを駆除するのではなく、ボットネットとして機能しなくさせることを狙う。その代表例が、ボットネットの司令塔となるC&C(コマンド・アンド・コントロール)サーバーを落とすことである(図1)。

図1●C&Cサーバーを落としてボットネットを使用不能に
[画像のクリックで拡大表示]

 攻撃者は、C&Cサーバーを使うことで最大数百万台に上るウイルス感染PCに一斉に命令を送ることができる。だが、この効率的な仕組みは、攻撃者にとって弱点にもなるのだ。防御側では、ウイルスを解析するなどしてC&Cサーバーを特定し、「そのサーバーを管理しているホスティング事業者などに連絡してサーバーを落としてもらう」(日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏)。

 ボットネットが出現したのは2002年ごろ。「Agobot」と呼ばれるウイルス(ボット)で構成されたボットネットが先駆けとされている。当初は、C&Cサーバーを停止することが、ボットネットをテイクダウンするための常套手段だった。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら