現在のインターネットにおいて、大きな脅威になっているのが「ボットネット」。ウイルスの一種である「ボット」を一般ユーザーのパソコンに感染させて乗っ取り、Webサイトへの攻撃や迷惑メール送信などの踏み台に悪用する。しかしユーザーには、悪用されていることが分からない。

 そこで、各国の警察やセキュリティ企業、ISP、ソフトメーカーなどは、ボットネットを壊滅させるために力を入れている。最近では、オランダの国家犯罪対策局ハイテク犯罪チーム(The High Tech Crime Team of the Dutch National Crime Squiad;THTC)が、セキュリティ企業などの力を借りて、「ブレードラボ(Bredolab)」というボットに感染したパソコンで構成されたボットネットを壊滅に追い込んだ。首謀者の1人も逮捕した。

 ブレードラボは、感染した延べ3000万台のパソコンで巨大なボットネットを構築。1日当たり36億通の迷惑メール送信などに悪用されていた。この“壊滅劇”に力を貸した専門家の一人が、ドイツのセキュリティ企業ジーデータでセキュリティエバンジェリストを務めるエディ・ウィレムス氏。同氏は、欧州のウイルス対策機関「エイカー(EICAR)」のディレクターでもある。来日したウィレムス氏に、壊滅劇の舞台裏を聞いた。

 ボットネットの首謀者が逮捕されたのは2010年10月26日。ブレードラボの感染拡大を確認したのは、その10カ月ほど前になる。被害の拡大を受けてオランダ当局は、ISPやセキュリティ企業などと共同で、ボットネットの壊滅を目的としたプロジェクト「トーラス(TAURUS)」を開始した。

 ボットネットを構成する感染パソコンには、攻撃者からの命令が特定のサーバーを経由して送られる。サーバーの台数はオランダ国内に143台、フランスに3台存在した。感染パソコンの台数は日によって変化した。新たに感染してボットネットに加わるパソコンがある一方で、ブレードラボが駆除されるパソコンもある。首謀者が逮捕された時点では、感染パソコンは300万台から400万台程度だったが、累計では3000万台のパソコンが、ボットネットに“参加”したと推定される。

 今回の壊滅劇の特徴は、ボットネットを“泳がせた”こと。命令を経由するサーバーを特定できたにもかかわらず、すぐにはシャットダウンせずに、稼働させ続けた。目的は、首謀者を逮捕するため。首謀者を追跡するために、3カ月から4カ月の間、ボットネットを生かし続けた。その甲斐あって、首謀者の一人は逮捕できた。半面、このことは大きな議論を巻き起こした。泳がしている間に、感染被害は拡大し続けたからだ。すぐにシャットダウンしていれば、数百万台の感染被害を防げたとされた。

この先は会員の登録が必要です。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら