本連載、終了したワケではありません!!

気がつけばここ数年来と思わしき梅雨らしい梅雨の季節である。この稿を書いている今も、いつ雨が降るともしれないどんより雲は厚く空を覆っている……いやあ、遅筆で申し訳ない。前回のコラムから数えて5カ月筆が進まなかったわけなので、終了フラグと思った人も多かろう。しかし、そこはこぢんまりと前向きに進めていきたいと思う。(←本当ですね!? >担当編集)

というわけで、今回はボットネットを所有する、というちょっと変わった観測方法について紹介したい。ただし、筆者は法律家ではないが、注意書きとしてこれと同じ方法を国内で実施すると、法令たとえば不正アクセス禁止法などに抵触する恐れがあることを先に述べておく。

40万台以上のボットで構成される"Kraken"の存在報告と反論

きっかけは4月のはじめのことである。Krakenと呼ばれるボットネットが米Damballa社により発見され、その構成台数(ボット感染PC数)は40万台以上にのぼるという調査結果が明らかになったのだ。

この報に際し、ウイルス対策ソフトベンダをはじめ、専門家から次々と反論が寄せられた。たとえば、The Washington Post紙の"Security Fix"というブログへのBrian Krebs記者の投稿は、同社はKrakenがC&Cサーバ用に使用している100以上のドメインの一部を占拠し、その感染PC数を計測していた、と指摘した。この指摘をさらに調査したのがF-Secureであり、そのブログにおいて「このマルウェアの亜種を最初に目にしたのは2006年の夏ごろであり、今話題となる対象ではないだろう。また、このようなDNSを使用した検知法による統計は過去の、今や使用されなくなった亜種のデータを含んでいる可能性があり、ゆえにKrakenのボットネットの構成台数は水増しされている恐れがある」と論じた。また、Symantecによるとこのサンプルを入手し「Backdoor.Spakrab」という名称で検知可能にするためにパターンファイルへ反映を行ったところ、すでにBloodhound.SONAR.1ないしHacktool.Spammerという名称で検知可能であったという。さらに、米SecureWorks社は「KrakenはBobaxである」と主張し、そのボットネット構成台数はせいぜい18万5,000台であるとしている。

この差異について目をつけたのが、米TippingPointの研究機関であるDVLabsのPedram Amini氏とCody Pierce氏である。とくにPierce氏はKrakenの使用するプロトコルを分析し、暗号化ルーチンを詳解することで「ニセのKrakenサーバ」を作成し、リダイレクトされるボット感染PCを所有する --事実上の乗っ取り-- を可能にしたという。そして、このボットネットを所有するための重要な点は、クライアントサーバのアーキテクチャを解きほぐすところにあったと語る。KrakenはサブC&Cサーバとして、たとえばdyndns.comに代表されるダイナミックDNSサービスを複数使用し、マスターのC&Cサーバから命令を受け取る構造になっていた。そして、Krakenの使用しているダイナミックDNSサービスのFQDNを登録し、サーバのエミュレーションを行うことでボット感染PCを次々に乗っ取っていったのだという。

「浄化」か「倫理感」か、それとも…

DVLabsではこの方法を使用することで1週間観測を行い、世界中から180万以上の接続要求を受け取ったという。そしてこれらの接続要求のうち、ユニークなIPアドレスは6万5,000で、また、これらIPアドレスの逆引き結果から、感染者の大半は一般家庭のブロードバンド利用者であったという。国別の内訳は北米が一番多く、次いでスペイン、イギリス、コロンビアの順であった。また、これらボット感染PCの特定はあくまでも「新規の感染者」であるため、現在のKrakenの大きさを測る方法にはなっていないという。

ここで、DVLabsの観測法は観測のみならず、「アップデートを感染PCに促す」こともできるという点ににわかに注目したい。つまりこの観測法ではボット感染PCに指令を出すことも可能であり、言い換えれば「駆除するプログラムを実行させることでボットネットを浄化」することも可能になるのだ。たしかに、技術的手段を用いてボットネットを壊滅させることができれば、「目には目を」で通用するのかもしれない。ただし、このような「浄化法」については、手法こそ異なれ、CodeRedワーム発生時のCodeGreenのような倫理的な問題と、それから、そもそも法令に抵触する可能性をはらんでいる。そして現在、このことを綴ったブログのエントリは賛否両論、さまざまなコメントが寄せられている。