凶悪化するボットネット--次なる武器は暗号か

　オンライン犯罪者は近い将来、ハイジャックしたPCに対する制御を維持する目的で、悪質なソフトウェア（マルウェア）のなかにそれ自体の検出や削除を防ぐための暗号化技術を組み込むようになるだろう・・・ある研究者が米国時間14日、ワシントンで開催されたイベントのなかでこのような予測を披露した。

　SRA Internationalの情報アシュアランスエンジニア、Adam Meyersは「Computer Security Institute」主催のカンファレンスで講演し、（マルウェアを拡散する手段として使われる）ボットは近い将来、自身の存在をセキュリティ対策ソフトウェアやネットワーク監視ツールから隠蔽するために、暗号化技術を備えるようになるだろうと述べた。

　「近い将来、マルウェアは暗号化されたセッションを確立するようになるだろう。マルウェアに暗号化技術が搭載されるようになれば、ボットネットの調査は今まで以上に難かしくなる」（Meyers）

　マルウェアがインストールされて「ボット」化したPCは、Internet Relay Chat（IRC）に接続して、攻撃者からの新たな命令を受け取る。「Ethereal」に代表されるプロトコルアナライザーや侵入検知ソフトウェアは、IRCネットワークのトラフィックを監視することで、ボットソフトウェアに侵されたPCの情報を収集している。

　「ボットネットの管理者は、IRCコネクションを探し出すEtherealのような侵入検知ソフトウェアから逃れようとするだろう。彼らは自分たちの行為を隠すためなら手段など選ばない。セキュリティの世界では調査側と犯罪者側のいたちごっこが続いている--犯罪者が新しい技術を取り入れれば、調査する側は時間をかけて状況に対応しなければならなくなる」（Meyers）

　コンピュータセキュリティ分野においてボットは深刻な問題となっているが、ここへきて警察当局は犯罪者らの追い上げに成功し始めているようだ。警察当局は11月に入り、米国内で初めてボット犯罪関係者を逮捕したことを明らかにした。また10月にはオランダ警察が、150万台以上のPCをハイジャックしたとされる3人の容疑者を逮捕したと発表している。

　トロイの木馬や悪質なコードなどのボットソフトウェアに感染したコンピュータのことをゾンビPCと呼ぶ。ゾンビPCは攻撃者によって遠隔地よりコマンド操作されるが、PCの所有者自身はこのことに気付かない。

　ボットネットは「ボット使い」と呼ばれる運営者から他者に貸し出され、詐欺目的で個人情報を盗み取るためのスパム送信やフィッシング行為に使われることが多い。また、強請（ゆすり）のためにボットネットが使われることもあり、犯罪者らが金銭目的でオンラインビジネスにサービス拒否（DoS）攻撃を仕掛けることもある。DoS攻撃とは、特定のウェブサイトを停止に追い込むこと狙った攻撃の手口だ。

　Meyersによると、多くの暗号化技術が、ボットソフトウェアの作者らに悪用される可能性を秘めるという。同氏は、SSHやSSL、ROT-13などの技術のほか、プロプライエタリな手法が使われるかもしれないと指摘する。犯罪者にとってボットソフトウェアに暗号化技術を組み込むことは難しい作業となるが、この作業には取り組むだけの価値があると、Meyersは付け加える。

　「ボットの寿命が延びれば延びるほど、オンライン犯罪者にとっては都合がよい。彼らは、その分だけお金を稼げるのだから」（Meyers）