世界最大級のハニーポットを設置

国が大規模ボット対策、感染者に「オーダーメード治療」

2006/12/12

 総務省と経済産業省が共同でボット対策に乗り出した。両省はISPを通じてボットプログラムの感染者に通知し、ボット対策Webポータルに掲載した無償対策ソフトによる駆除を促すという「オーダーメード治療」を開始する。

 ボットネットは特定WebサイトへのDDoS攻撃などを引き起こすが、被害を受ける側では実効性の高い対策を採りにくいのが現状。そこで両省は、知らないうちにボットプログラムに感染し、結果的に攻撃者となっているユーザーに直接働きかけ、ボットプログラムを駆除してもらうことを今回の対策における柱とした。これは国内の主要ISPで構成される団体Telecom-ISAC Japanにおけるこれまでの取り組みをベースとしている。

bot01.jpg ボット対策プロジェクトの全体図を説明する経済産業省 商務情報政策局 情報セキュリティ政策室室長 頓宮裕貴氏

 具体的にはまず、大規模なハニーポット(攻撃捕捉装置)を設置。集まった検体を、JPCERTコーディネーションセンター(JPCERT/CC)が分析する。このハニーポットは、稼働する仮想マシンの数などからいって世界最大級だという。使用するIPアドレスは国内ISPから提供を受けるが、定期的にアドレスブロックを入れ替えることで、攻撃者に察知されないようにするという。

 JPCERT/CCは分析結果から、ボットプログラムの駆除ツールを開発するとともに、ボット化したPCに関する通信情報を協力ISPに通知。ISPは該当ユーザーに対して電子メールなどで感染を知らせ、両省が共同で設置したボット対策Webポータルにアクセスして駆除ツールを利用するように促す。今回のシステムでは進捗(ちょく)管理も実施。1度の働きかけに応じないユーザーに対しては繰り返し通知する。

 また、JPCERT/CCは検体や分析結果を情報処理通信機構(IPA)に提供。IPAはウイルス対策ベンダに対してこれらを再配布し、各社の対策製品に利用できるようにする。

 Telecom-ISAC Japanは一連のシステムの運用を支援。通知メール作成システムや進捗(ちょく)管理システム、検体・対策情報管理システムなどを運営する。

 ボット対策ポータルの運営はNTTコミュニケーションズが担当。ボットプログラムの駆除ツールとしてはトレンドマイクロの既存ウイルス駆除ソフトをベースとし、JPCERT/CCはボットプログラムのパターンファイルを追加する。協力ISPはBIGLOBE、DION、hi-ho、IIJ、@nifty、OCN、ODN、Yahoo! BB。

電子メール添付のボット対応は今後の課題

 ボット対策ポータル「サイバークリーンセンター」は12月12日にオープンした。同サイトではまず一般ユーザーに向けたボット予防関連情報を掲載。続いて12月15日にはボットプログラム感染者向けページを開設の予定。感染ユーザーへの通知はテスト運用を経て2007年2月から本格的にスタートする。協力ISPは1週間に1度、それぞれ1000以上のIPアドレスを対象として通知を行っていく。

 サイバークリーンセンターを担当するNTTコミュニケーションズの第二法人営業本部 エンジニアリング部 小山覚氏は今回の仕組みについて「まだトライアルの段階で、半分程度の出来」という。課題の1つは駆除ツールに電子署名がつけられていないこと。これについては次のリリースで対応するという。

 Telecom-ISAC Japan企画調整部長の有村浩一氏は、過去の経験からすると1度で通知に応えないユーザーに対して実効性をどう確保していくかも難しい問題だと指摘する。また、今回の取り組みでは電子メール添付で流通するボットプログラムは捕捉(そく)の対象となっておらず、今後検討を要する問題だと話している。

(@IT 三木泉)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -