「Internet Week 2006」(2006年12月5日〜8日、パシフィコ横浜)において7日、セキュリティ担当者を対象としたカンファレンス「Security Day 2006 あなたの出番です! 〜市民権を得たセキュリティ対策〜」が開催された。そのなかで、Telecom-ISAC Japanより、「結果発表 Antinny モグラたたき大作戦!〜ローテク・ハイスキル!?なDDoS攻撃対策の効果はいかに〜」と題して、社団法人コンピュータソフトウェア著作権協会(以下、ACCS)WebサイトにおけるAnnity対策が紹介された。 Antinnyとは、P2Pソフト「Winny」を経由して、感染拡大するワーム型ウイルスである。感染したPCの情報を漏洩させ、多くの個人情報の漏洩や企業情報の流出が社会問題化したが、そのAntinnyの亜種の一部が、2004年3月より、ACCSのホームページへ過剰にアクセスし始めた。これにより、他ユーザーのWebサイト閲覧が困難な状況が発生したため、管理者は、DNSサーバからACCSサイトのAレコードを抹消して攻撃を回避、これにより、ACCSサイトの閲覧はできなくなったものの、他ユーザーへの影響はなくなった。 しかしその翌月、突如として、ISPが運営するDNSサーバの負荷が急上昇。原因を調べていくと、ACCSのAntinnyワーム対策(Aレコード抹消)によって、クエリが平常時の6倍以上に跳ね上がっていることが考えられた。そこでISPからACCSへコンタクトをとり、Antinnyの攻撃を停止させるのではなく、攻撃をISPが吸い込んで廃棄する、つまりブラックホールIPの設定と運用の検討を開始した。 運用にあたっては、ブラックホールアドレスを払い出したISPにトラフィックが集中することを防ぐために、複数のポイントで不要トラフィックを破棄できるようにISP間で問い合わせ対応を統一、Telecom-ISAC Japanを中心とする大手ISP連携を図った。登壇に立ったTelecom-ISAC Japanの小山覚氏(NTTコミュニケーションズ 第二法人営業本部 エンジニアリング部企画戦略部門 部門長)からは、「ISP担当者が『皆さんも、そうなさっています大作戦』をとることで社内承認を得た」という経緯も披露された。 この結果、2004年6月にはDNSに対するクエリバーストの防止に成功した。この対策によってISP連携プレーの実績を作ることができたものの、ブラックホールIP実施においては、その是非や誰がそのトリガを引くべきかといった議論も多く生まれ、その後「Internet Week 2004」の法律Dayで今回の対策について発表し、法制度に頼りたい実情が議論された。 2004年8月、再び激しい攻撃が発生した。そこで翌月、インターネットのバックボーン上にACCSサイトを移設し、攻撃実態の全容解明に着手した。しかし調査にあたっては、通信の秘密を侵害しない方法をとるべきとして、ACCS依頼の調査にすること、ACCSサイト上の入力フォームをすべて閉鎖し、個人情報が流れない状態をつくることなど、調査方法の検討が事前に行われた。 そして、2005年3月よりDDoS対策のトライアルを開始する。まず、ISPのネットワーク内にシスコシステムズのCisco Guardを導入、攻撃トラフィックの軽減効果を確認できたが、「これによってエンドユーザーの理解(技術力と資金力)、サービス提供にかかわるすべての関係者の連携が不可欠であることも浮き彫りとなった」としている。 同時に、攻撃PCの撲滅作戦にも乗り出す。トレンドマイクロの協力で、Antinnyワームの駆除ツールを作成、ACCSサイトに攻撃をしかけているユーザーに対して注意喚起するなどの対策を開始した。しかし結果はというと、数%のユーザーからしか反応が得られず、攻撃通信は減少しなかった。 そこでマイクロソフトと交渉、悪意のあるソフトウェア駆除ツール(MRT)の駆除対象とするよう交渉、その調整は9月まで続いたが、10月以降のMRT採用にこぎつけた。成果はすぐに現れ、「マイクロソフトによると11万台のコンピュータから20万を超えるAntinnyワームが駆除された」という。 ところが2006年2月、Antinnyは完全復活し、次なるDDos対策トライアル第4弾が始まる。再び、感染者に直接注意喚起するという「もぐら叩き大作戦」のリベンジを行い、さらにAntinny駆除ポータルサイトを構築し、マイクロソフトとトレンドマイクロの協力で連動コンテンツを作成したり、ユーザーの対策のトラッキングシステムを導入するなどの対策を行った。同時に、地上波テレビでの報道による啓発、これが大きな効果を発揮した。 こうしたトライアルによって一定の成果はでたものの、著作権違反コンテンツの流通やインターネットの秘匿性によるモラルハザードの誘引など、やはり再感染を防ぐことは容易ではない。小山氏は、JPIXのトラフィックはこの8年で1,000倍に増加し、光ファイバによって上りトラフィックも飛躍的に増加しており、「トラフィックの暴力がISPを襲う時代が来ている」と表現した。ISPが生き残っていくには、エンドユーザーに安全で快適なインターネット環境を提供していかなければならず、そのためにはDDoS攻撃などをできるだけ回避していかなければならない。 しかしその対策には、テクノロジーではなく今回紹介したようなローテクな手法を続けることが必要である。また、法律や制度、教育や啓発も伴わなければ効果は上がらないし、メディアとの連携も進める必要があることも、今回のDDoS対策では明白になったと言う。小山氏は最後に、Telecom-ISAC Japanの今後の活動として、ISPとしての中立性を保ちつつ、インターネットと適正な利用につながる取り組みを行っていきたいと締めくくった。
いよいよ消滅間近な、ファイル共有ソフトユーザー……Winny利用者は5年で10分の1に
