|
■ 前例のない挑戦 |
 インターネットはもはや生活になくてはならない「ライフライン」のひとつといってもいいでしょう。けれども、そこには多くの悪意が存在しています。2004 年 3 月、突如姿を現したコンピュータウイルス “Antinny” は、このライフラインを脅かすまでの脅威となっていました。Antinny は、日本国内で開発されたものと推測され、大きな衝撃を与えました。 IT 業界における 1 年間の戦いを経て、ついにマイクロソフトに対して協力が要請されました。グローバル企業であるマイクロソフトが、Windows の脆弱性を狙ったものでもない、日本で局所的に発生した脅威にどのように対処するか……マイクロソフトが対策に乗り出すまでには、さまざまな難関がありました。しかし、「これが日本のライフラインを守るための戦いなのであれば最も多くのお客様に利用されているソフトウェアベンダーとして、大きく社会に貢献できる機会になるかもしれない。ならば挑んでみたい」という、マイクロソフトのセキュリティ担当者の強い思いのもと、過去に例をみない挑戦が始まりました。
「ウイルスの脅威と戦う」というと非現実的に感じられるかもしれません。
|
|
■ 異変〜 ISP ネットワークへの異常発見
|
2004 年 4 月 5 日午前 10 時 00 分、異変は突然起こりました。ISP (※1)
が運用するDNS (※2) の負荷が通常の 6 倍に跳ね上がったのです。このままでは ISP の DNS
サーバに甚大な影響が出て、ユーザーがインターネットを利用できなくなる可能性すらある状況でした。情報通信事業者の相互連携を目的に幅広い会員を持つ業界団体、Telecom-ISAC
Japan 企画調整部の小山覚副部長 (NTTコミュニケーションズ株式会社 第二法人営業本部
エンジニアリング部 企画戦略部門長)
らは「このままでは、お客様のインターネット利用に影響が出てしまう」と事態を重く見て、調査を開始しました。 |
|
■ 発端 〜ACCS へのアクセス集中 |
その 1 ヶ月前の 3 月 1 日、社団法人コンピュータソフトウェア著作権協会 (ACCS) の Web サーバにアクセスが急増する、という異常事態が発生していました。平均して 1 日 2000 〜 3000 だった ACCS ウェブサイトへのアクセスが、1 秒間あたり 5000 アクセスにまで増えていたのです。通常の情報発信業務すらできない状態に追い込まれた ACCS では、ウェブサイトの運用を停止せざるを得ないと判断。DNS サーバから ACCS サイトの IPアドレス (※3) を抹消し、アクセス先をなくすことでネットワークのトラフィックを軽減しようと試みました。
「はじめは、まったく原因がわかりませんでした。“ホームページが見られない”という問い合わせも殺到して、非常に困った状態に追い込まれてしまいました。とりあえずは、サーバを落として対処するしかなかったのです ACCS でシステムを担当する中川文憲氏はそう振り返ります。しかしながら、これがインターネットの運用に多大な影響を及ぼす原因となってしまいました。ACCS が IP アドレスを抹消したため、ウイルスが行う名前解決要求が過度に実行され、その結果 ISP の DNS サーバに通常の 6 倍以上という負荷がかかってしまっていたのです。 |
|
■ 原因〜インターネットの危機 |
ACCS では久保田裕専務理事・事務局長を中心に中川氏らが調査を行い、この異常事態の原因が Antinny であることを突き止めていました。Antinny とは、後に世間に知られることになる Winny (不特定多数のコンピュータ間で、P2P 技術を使い直接情報のやり取りを行なうファイル共有ソフト) などを経由して感染を拡大させるワーム型ウイルス。その一部の亜種が ACCS のホームページに対して過剰なアクセスを行っていたのです。
コンピュータウイルスに感染したコンピュータによる DDoS 攻撃と言える現象でした。複数のコンピュータに悪意のあるソフトウェアを忍び込ませておき、複数の攻撃元から標的となるコンピュータに対して大量のデータを送信するのが DDoS 攻撃です。サーバが過負荷でダウンしたり、他のユーザーへのサービス提供ができなくなるなど、深刻な被害につながるものです。攻撃元が単一の場合はその攻撃元との通信を拒否すれば回避できますが、数千、数万のコンピュータから攻撃が行われれば、個々の接続に対して対応することが難しく、防御が困難であることが特徴です。この攻撃を回避するために、サーバの存在を消去する対策を施しましたが、コンピュータにおける情報の重要性を啓発するという ACCS の活動は、このままでは果たせません。
 一方、Telecom-ISAC Japan でも原因調査が進められていました。調査の結果判明したのは、サーバへのアクセスを不可能にするために ACCS がとった措置により、ウイルスが行う名前解決要求が繰り返されたのが原因である、ということでした。これはインターネット上のサービスが提供できなくなる事態をも連想させるものでした。小山氏は当時を振り返って言います。「こちらも困っていたのですが、ある集まりで、Antinny の話題が出てひらめいたのです。もしかしたら、原因は Antinny ではないか。それがきっかけでいろいろなことがわかってきました」こちらでも、危機を生み出した犯人は Antinny だと結論づけられました。
小山氏は ACCS を説得しました。「ACCS のウェブサイトは助けられないかもしれない。しかし今はインターネットそのものを助けなくてはなりません」ACCS はこの提案に合意しました。まずはインターネットを救わなくてはなりません。ではどうすればいいのでしょう? ACCS の IP アドレスを抹消し Antinny の攻撃を ACCS へ到達させない、という現状の対策では、ISP の DNS サーバに対して甚大な影響を残してしまいます。そこで、あえて攻撃の発生を容認し、しかし ISP のネットワークによりそれらの通信を廃棄しよう。この「ブラックホール IP 作戦」によって、ひとまずインターネットへの影響は最小限にとどめることができました。 6 月のことでした。ブラックホール IP の利用が ISP に横断的に実施されたのは、Telecom-ISAC Japan の尽力の賜物だったといえるでしょう。 |
|
■ 対策〜 ACCS を救え! |
しかし、これは根本的な解決とはなりませんでした。ACCS のサイトは見られない状態のままであり、DDoS 攻撃を封じ込めたことにはなりません。根本解決のために ACCS の協力を仰ぎ DDoS 攻撃の実態調査が行われました。まずは攻撃通信を収集して分析しようとしましたが、一般的に高速とされる 100Mbps の光回線ですらデータが欠落するほどの激しい攻撃だったのです。データの収集が成功したのは、2Gbps という大容量回線を提供してくれた ISP の存在によるものでした。データは恐るべき攻撃の実態をあらわにしました。ISP としても脅威となる 700Mbps に達する攻撃がなされていたのです。このような過大な攻撃への対策には莫大な費用がかかり、しかもこのままでは、Antinny などのウイルスがインターネットコミュニティをも崩壊させるリスクが存在している状態です。事態を重く見た Telecom-ISAC Japan は、法制度面や社会システムとしての対策が必要であるという調査結果を公表しました。すでに 12 月になっていました。小山氏はその時のことを「DDoS 対策は難しいため、ユーザーや関係者全員の協力が必要だと判断しました」と説明します。
 この実態調査をもとに 2 つの作戦が実行に移されました。1 つは ISP ネットワーク内に対策機器※4 を設置する方法です。DDoS に対応した一種のファイアーウォールを導入し、攻撃トラフィックの軽減効果を確認すると、ほぼ期待通りの成果を挙げることができました。しかし、これには億単位の費用がかかってしまうという問題がありました。ひとつのウェブサイトを保護するために、ここまでのコストを費やすことは困難です。続いて第 2 の作戦が実行されました。Antinny 駆除ソフトを作り、感染ユーザーに注意を呼びかける方法です。セキュリティ対策ソフト会社の協力を得て、対策ソフトを作成し、ユーザーに駆除の必要性を呼びかけたのです。しかし、これも成功には至りませんでした。この駆除ソフトの性能は確かだったにもかかわらず、一般ユーザーにまで存在が認知され、さらに駆除を実施してもらうまでには至らなかったのです。協議の結果、最初の異変から約 1 年を経て、ついに 2005 年 3 月、マイクロソフトに協力が要請されました。
|
|
■ 成果〜協力関係が可能にしたもの |
支援を要請されたのは、マイクロソフトの奥天陽司 (セキュリティレスポンスマネージャ) でした。奥天は、もちろん Antinny をめぐって異常事態が発生していることを認識していました。最大手のソフトウェア企業として、何とか協力したいと思いました。しかし不安もありました。グローバル企業であるマイクロソフトが日本国内に特化したセキュリティ事故に対応するべきなのか。しかも Antinny は Windows の脆弱性を狙ったウイルスではないのです。幸いにも奥天の不安は杞憂に終わりました。「日本のユーザーへの貢献になるのであれば、マイクロソフトは協力すべきだ」本社からのゴーサインです。
 それから奥天の奮闘が始まりました。まずウイルス検出に必要なサンプル (検体) を収集しなければなりませんでした。奥天はその時の様子をこう語ります。「サンプル集めが一苦労でした。駆除プログラムを作成するためには、既に発見されている亜種を含めてできる限り多く集めなくてはならないからです。しかし、Winny などは P2P ネットワークの内部、しかも様々なコンピュータに分散して存在するため、簡単に手に入れることはできません。情報提供者を探し出して提供してもらったり、セキュリティ対策パートナーである企業から、貴重な検体を譲ってもらったりもしました。こうしてようやく 30 体近いすべての亜種をそろえることができました」米本社のウイルス対策チームと連携し、国内関係者と綿密な議論を重ねる日々が続きました。最後に、日本語環境での動作確認を終え、ついに 2005 年 10 月、「悪意あるソフトウェアの削除ツール」での対応が始まったのです。
このツールが公開されると、被害はおよそ 40% 削減されました。そして、これを契機とするかのようにさまざまな相乗効果が生まれました。小山氏が「今回は、産業界と国とで、ベストプラクティスと呼べる、非常に良い連携ができました」と語るように、ソフトウェアベンダーであるマイクロソフトと、インターネット基盤を支える ISP、セキュリティ対策パートナー、そして日本の政府との協力が実現できたのです。ウイルス対策ベンダーや関連団体も積極的な感染者への注意喚起を継続しています。「Antinny 対応の難しさのひとつに、感染ユーザーが意識的に攻撃をしているわけではないという点があります。インターネットの基盤を構成するマイクロソフトさんによる今回の対応策は、攻撃のもとを断つという意味で非常に効果的でした」と久保田氏も述べたように、この駆除ツールの公開により、公開後 1 ヶ月間で 20 万、2006 年 5 月までに 40 万を超える Antinny の駆除に成功するという大きな成果を得ました。
奥天は語ります。「このように局所的かつ深刻度の把握が難しい問題に対して、本社が対策に乗り出した例は多くはありません。しかし Antinny においては、日本における本件の重大性が理解され、さらに日本のお客様へ貢献することの意義を共有できました。そして日本の社会への貢献が重要であると理解できたことは、今後の積極的なセキュリティ対策に少なからず良い影響を残せたと思っています」そして彼はこう結びました。「何よりこのプロジェクトを通じ、人のつながりの重要性を再認識することもできました。技術の進歩を活用するにあたっては、時にヒューマンな協力関係を築かなければならないことに気付けたことを、本当に感謝しています」
Antinny ウイルスによる感染が原因となった DDoS 攻撃の低減への貢献が認められ、2005 年 11 月に ACCS よりマイクロソフトに感謝状が授与されました。また、その後、同ウイルスが原因となった情報漏えい事故の多発などを踏まえ、マイクロソフトは、政府機関、業界パートナーとの連携を強め、継続した一連の活動を進めました。これが評価され、マイクロソフトは平成 18 年度情報通信月間 総務大臣表彰を受賞しました。 |
| (※ 1) |
Internet Services Provider
の略。インターネット接続業者のこと。電話回線などを通じて、企業や家庭のコンピュータをインター ネットに接続するのが主な業務。
| | (※ 2) |
Domain Name System の略。インターネット上におけるコンピュータの名前にあたるドメイン名と住所にあたる
IP アドレスを対応させるシステム。
| | (※ 3) |
インターネットなどの IP ネットワークに接続されたコンピュータや通信機器を判別するために、1 台 1
台に割り振られた識別番号。
|
Microsoft は、米国 Microsoft Corporation の米国及びその他の国における登録商標または商標です。
|
