PR

 米マイクロソフトは2010年2月25日、大規模なボットネットの無効化に成功したことを明らかにした。法的および技術的な対応により、ボットネットに命令を送るコンピューター(コマンド・アンド・コントロール・サーバー)と、ボットネット間の通信を遮断できたという。

 今回、同社が無効化に成功したのは、「Waledac(ワレダック)」と呼ばれるボット(ウイルス)に感染したパソコンで構成されるボットネット。

 ボットネットとは、ボット感染パソコンで構成されるネットワーク(グループ)。攻撃者は、「司令塔」となるコンピューターを経由して、ボット感染パソコンに命令を送信。パソコン内の情報を盗んだり、他のコンピューターへの攻撃や迷惑メール(スパム)の踏み台に悪用したりする(図1)。

 Waledacは、日本を含め世界中で感染を広げている(図2)。Waledacボットネットは、主に迷惑メールの送信に悪用されている。1日当たり15億通の迷惑メールを送信しているという。そのほか、DoS攻撃の踏み台に使われたり、感染パソコンから重要な情報を盗んだりする。

 世界中に存在するWaledacボットネットのいくつかを無効化するため、同社では司令塔となるコンピューターの無効化を試みた。同社では、司令塔が置かれているドメインの閉鎖を裁判所に要求。それを受けて2010年2月22日、裁判所は277のドメインに対して、一時的な差し止め命令を出した。

 これにより、司令塔コンピューターはインターネットにアクセスできなくなり、攻撃者はボットネットへ命令を送れなくなった。その後同社では、ボットネットに対して技術的な対策を施すことで、ボット感染パソコン同士の通信(ピアツーピア通信)もできないようにした(「技術的な対策」の詳細は明らかにしていない)。

 以上の結果、3日後(2月24日)には、Waledacボットネットのいくつかを無効化することに成功したという。今回のように、法的および技術的な対応でボットネットを無効化したのは初めてだとする。

 ただ、今回はボット感染パソコンと司令塔間の通信を遮断しただけで、ボット感染パソコン自体は存在する。このため同社では、同社の「悪意のあるソフトウェアの削除ツール」やセキュリティ対策ソフトなどを適切に利用して、ボットを駆除するよう呼びかけている。