ボットネットの“司令塔”となるC&Cサーバーを次々と変える「ファストフラックス」。攻撃者が編み出した新手口だ。これに対抗すべく防御側では、「一方的な仮処分」という法制度を利用して、C&Cサーバーのドメイン名を差し押さえる。これにより、ボットネットとC&Cサーバーが通信できないようにして、ボットネットをテイクダウン(使用不能)に追い込む。

 ボットネットを悪用する攻撃者の常套手段の一つが「ファストフラックス」である(関連記事:[ボットネットと戦う2]“司令塔”を守る、脅威の「ファストフラックス」)。ファストフラックスを使うことで、ボットネットの司令塔となるC&Cサーバーを次々と変更し、テイクダウンを免れようとする。

 ファストフラックスのポイントは、C&Cサーバーへのアクセスにドメイン名を利用し、そのドメイン名に対応するIPアドレスを次々と変更することだ。

 ファストフラックスでは、C&Cサーバーを多数用意する。ボットネットを構成するウイルスには、IPアドレスではなく、ドメイン名でC&Cサーバーにアクセスさせる。このドメイン名の管理者である攻撃者は、ドメイン名に対応するIPアドレスを次々と変更することで、ウイルスがアクセスするC&Cサーバーを次々と変える。

 だが、工夫するのは攻撃者だけではない。防御側も工夫している。ファーストフラックスの対抗策として防御側が編み出したのが、「ドメイン名の差し押さえ」だ。C&Cサーバーを停止させるのではなく、ウイルスがC&Cサーバーにアクセスできないようにすることで、ボットネットをテイクダウンするのだ。

 ファストフラックスのように、C&Cサーバーがドメイン名で指定されている場合、ウイルスは直近のDNSサーバーに、そのドメイン名のIPアドレスを問い合わせる。直近のDNSサーバーは、そのドメイン名のコンテンツサーバー(権威DNSサーバー)に問い合わせてIPアドレスを取得。ウイルスに対して、C&Cサーバーに対応するIPアドレスを返す。この一連の流れの中で、ウイルスに対して偽のIPアドレスを返すようにすれば、ウイルスはC&Cサーバーにアクセスできなくなる。

 ただし、コンテンツサーバーをはじめとする全てのDNSサーバーはいずれも真っ当であり、C&Cサーバー以外のドメイン名やIPアドレス情報も管理している。それらのDNSサーバーに対して、偽のIPアドレスを登録するよう強制させることは通常はできない。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら