Tomo’s HotLine

□botnetとは？
最近ウィルスと並んでbotnetが話題になっている。botnetとは簡単に言うと、ある攻撃者からの命令を受け付ける事が可能で、更にそれを実行することができる不正なプログラム（bot）によって形成されたネットワークである。
botnetについては以下のリンクを参考にして下さい。
http://ja.wikipedia.org/wiki/%E3%83%9C%E3%83%83%E3%83%88%E3%83%8D%E3%83%83%E3%83%88
http://www.atmarkit.co.jp/fsecurity/special/76bot/bot01.html

botnetを使うと攻撃者によってスパムメールを送出したり、あるいはDDoS攻撃を起こす事もできます。

□botnetの仕組み
botは攻撃者からの命令を受ける際にＩＲＣサーバを利用すします。ＩＲＣサーバとはチャットの際に利用するサーバです。ＩＲＣサーバ経由で命令を受けたbotはその命令どおりに実行を行います。スパムメールやDDoS攻撃以外に情報漏えいを引き起こす事もあります。

□P2Pとbotnet
先ほど書いたようにbotnetは一般的にはクライアント＝サーバモデルと考えられます。ここでbotnetがP2Pを利用すると攻撃者側にとって色々と都合がよいことがあります。以下に簡単にまとめてみます。

[メリット1]攻撃者用サーバが不要
[メリット2]攻撃者の匿名性が高まる
[メリット3]botを多数収容できるbotnetが構築できる
[メリット4]botnetを通信面で組織が遮断することが難しい

メリット１ですが、P2PですからＩＲＣサーバが不要です。ですから、ＩＲＣサーバを設置あるいはクラックする必要がありません。ただし、botがP2P-botnetに新規に参加する場合には、既にP2P-botnetに参加しているbotのＩＰアドレスを知る必要があります。これを解決するにはbotのプログラム自体に初期接続用ノードＩＰアドレスを配布するなど、工夫が必要です。もちろん、この他ノードにbotを感染させる際にはＩＰアドレスリストの最新版を渡す等更なる工夫も可能です。

メリット２ですが、Ｗｉｎｎｙのようにbotに感染したノードをプロキシ的に扱う事で攻撃者の匿名性を非常に高める事が可能です。高度に発展したP2P-botnetでは攻撃者を特定する事は極めて難しいでしょう。

メリット３ですが、サーバレスということで、スケーラビリティに優れたbotnetを構築することができます。DHTやSkipgraphを使えば単にスケーラビリティに優れたbotnetでなく、botに割り当てられたNode_ID毎に命令を割り振るなど高度な攻撃も可能でしょう。

メリット４ですが、WinnyやShareを通信的に遮断することが難しい事と同じようにP2P-botnetを遮断することが難しいと考えられます。つまり、P2P-botnetを完全になくすには困難を伴います。

botの作者がP2Pに目をつけるのも時間の問題でしょう。