平成 18 年 12 月 12 日 (火) はサイバークリーンセンターがオープンした記念すべき日なんです。皆さんご存知でした？

NTTコミュニケーションズ株式会社
エンジニアリング部
企画戦略部門長
小山 覚 氏著

サイバークリーンセンターとは、ボットネット対策に総務省と経済産業省が連携しスタートした事業の中核的役割を担うホームページの呼び名です。
この事業は総務省・経済産業省の連携のもと、Telecom-ISAC Japan・JPCERT/CC・IPA の三団体が中心で運営してます。今回は国家プロジェクトとして行われるボットネット対策についてお話をさせていただきます。

読者の皆さんは、ボットネットという言葉をご存知の人が多いと思います。「ボットorボットネット」と検索すれば沢山の情報がありますので、ここでは簡単にお話しますと、ボットとはロボットのように遠隔からコントロールできるコンピュータウイルスの一種で、ボットネット専用の IRC サーバを介して管理運用されることが多く、以下の特徴があります。

このボットの存在はインターネットの世界では IRC ボットなどとも呼ばれ、早くから存在していました。日本で脅威としてなんとなく認識されだしたのは 2004 年の春頃からなんです。大量の SPAM メールが大量の IP アドレスから飛んできたことが最初でした。今では SPAM メールだけでなく毎日のように DDoS 攻撃などが行われていまして、攻撃の矛先によっては社会が混乱するようなリスクもはらんでいます。

おっと、自己紹介を忘れていました。はじめまして、私は NTTコミュニケーションズ株式会社の小山覚です。
数年前まではプロバイダ (以下、ISP) のサービス開発などもやっていましたが、いまはセキュリティ技術を軸足にしているシステムエンジニアです。職場の肩書きはエンジニアリング部 企画戦略部門長です。いわゆる管理職で仕事の内容は技術とは程 (おもいっきり) 遠く、大きなプロジェクトのリーダーをやったり、事業計画や社員の評価や組織設計や様々な調整ごとなどが仕事の大半です。今回ご紹介しましたサイバークリーンセンターの運営にも関わらせていただいております。

社業とは別に Telecom-ISAC Japan などのセキュリティ業界団体などの活動にも参加させてもらっており、企業の社会貢献活動の重要性を再認識している今日この頃です。

なぜ、ボット対策が国家プロジェクトなのか

よく聞かれるんですが、どうして総務省や経済産業省がボットネット対策に乗り出したのか、既に民間のアンチウイルス ソフトベンダがビジネス展開を行っている領域とも思えるところに国費を投じることになったのか、あくまでも私の考えですが、この辺から話を進めさせていただきます。

さて、既に 10 年以上の歴史があるアンチウイルス市場ですが、これまでのアンチウイルス対策は感染予防を中心に取り組まれてきました。ウイルスの拡散速度と、ウイルスを見つけ出すパターン定義ファイルの配布速度の競争、そして検知精度を上げることで各社のビジネスを展開してきました。2001 年頃からワーム ウイルスが主流になり、一時的に発生する爆発的な感染拡大を止めることは難しいにしても、その後迅速にウイルスを駆除することで早期に混乱を沈静化するような取り組みが盛んに行われました。当時はレッドアラートやイエローアラートなどの言葉が示すようなウイルスの大規模な蔓延が頻繁にありましたが、最近はその声を聞くこともなくなってきました。理由は簡単です。なぜならウイルスなどのマルウェアの主流がボットに代わったからです。

Telecom-ISAC Japan と JPCERT/CC が連携して 2005 年に行った調査の結果いろんなことが分かりました。ハニーポットでマルウェアを集めてみると、取れる検体の多くはボットのプログラムだったこと、インターネットユーザーの 2 〜 2.5 ％の人 (PC) がボットに感染していることが判明しました。最近では大企業のイントラネットにもボットが侵入しているという報告も増えていますので、ボットに感染している端末数はもっと多いかもしれませんが、2 〜 2.5 ％の人 (PC) という少ない割合だけど、数にして、国内には少なくとも 40 〜 50 万台の PC に感染しているという事実が国を動かしたんだと思ってます。

まず、40 〜 50 万台の PC をこのまま放置すればどうなるか。おそらくその 40 万台の PC を定点観測すれば、買い替え等々の様々な理由で感染 PC は漸減していくと思います。しかし全体的に見れば感染しつづける PC の数は大きく増えることもないかもしれませんが、減少することも考えにくい。つまり、問題はこの 40 〜 50 万台という PC を使って何が出来るのかということが重要なんです。ボット、ロボットですからこれら 40 〜 50 万台の PC は誰かの命令を聞いて悪さを働くことが出来るというわけです。

当時もいまも社会問題になっている SPAM メールの送信や DDoS 攻撃など、我が国のインターネット環境を破壊するには十分すぎる量だと思います。しかも、感染している 40 〜 50 万人のプライバシーや情報資産は侵害されたり漏洩される危機に瀕している。まさに国民の生命と財産を守るのが国の役目だとすると、ネット社会の住人を守るために国が動いた好例じゃないかと思います。

そう、40 〜 50 万人というと大変な数ですが、2 〜 2.5 ％となるとゴミとか誤差の世界に思えてしまい、多くの人は自分の問題だと思わない。つまり「正常化の偏見」というやつで、悪い知らせに対しては、誰も自分の問題とは思わず行動に移さないのが多くの人々の実態というか、社会心理学の世界では定説なんだそうです。群馬大学の片田先生の研究によれば、昔からの津波の常襲地域でも津波警報を聞いて逃げる人は少ないそうです。逃げない人のアンケート結果はやはり「自分は安全だ」と思った人が多かったとか。逆に自分にとって良いこと、例えば宝くじだと当選確率が 100 万分の 1 でも行列をつくって買い求める人がいる。人の心理って面白いですね。

そういうふうに考えると、自分の命が脅かされる事態でも行動を起こさない人々に対して、感染しているかどうかも分からないボットの脅威を伝えて啓発を行うことの難しさは計り知れないわけです。しかも現段階では感染したボットの駆除ツールも流通していない。そんな中で「ボットに注意しましょう！特に最近はボットに感染する人が全体の2 〜 2.5 %程度もいます」なんてずっと言い続けたてきたんですが、勝算が無かったわけではありません。いつかは今回立ち上がったサイバークリーンセンターのような仕組みが出来ることを信じて取り組んできました。ほんとに出来た今は妙に感無量です。いままで、セミナーなどで何回も恥を忍んで (というかネタとしてかなり定着した感がありますが) 「ボーっとしているとボットに感染しますよ」とか言い続けた私でしたが、ようやく具体的な打ち手が繰り出せるようになりました。

つまり、国家プロジェクトとして、ボット対策を行うということは、国民が「正常化の偏見」を持つ余地の無い取り組みを行うということなんです。国のお金でハニーポットを構築し、国内のインターネットユーザーからの感染活動を吸い寄せ、感染者が送りつけてきた検体に対応した駆除ツールを開発し、「あなたが感染しています。この薬を飲んでください。」と感染者に通知して駆除してもらう。感染を防止することは出来ませんが、事後対策としてはかなり手厚い取り組みだと思います。

マイクロソフトさんもウイルス対策事業を始められました。実はよく聞かれることなんですが、今回の事業はウイルス対策をしている民間事業者からみると国が民業を圧迫しているように思えるかもしれません。実は民業圧迫の逆で民業育成や推進になると思っています。仮に今回の取り組みを民間事業者だけで開始すると何が起きるのでしょうか、つまりウイルス対策ソフトを販売することを生業にしている会社が、同じような仕組みを使って感染者を調べて、「貴方はウイルスに感染しているから駆除ソフトを買いませんか？」なんてビジネスは一見良さそうですが、よく考えると怪しすぎますよね。マッチポンプの最たるものかも。サイバークリーンセンターの取り組みでは国家プロジェクトということでISPも感染者への注意喚起を買って出ましたが、もしアンチウイルスベンダからの依頼であれば躊躇したかもしれません。つまり、信頼のおける第三者としての国の役割が、アンチウイルスベンダと ISP の間に一枚噛んだことが重要な成功要因になるのではないかと思っています。

今回のサイバークリーンセンターの取り組みが成功すれば、ウイルス対策の市場において民間の新しいビジネスモデルを創造することに繋がると期待しています。

ページのトップへ

なぜ ISP がボット対策なのか

なんだかブログの独り言のようなだらだら文になってきましたが、もう少しお付き合いください。ボットの話をつづけます。どうして ISP である NTTコミュニケーションズがボット対策を一生懸命やっているかというと、会社全体としての或いは業界としてのコンセンサスを醸成するところまでには至っていませんが、恐らくそれが ISP ビジネスにおいて大きなリスクまたは将来のリスクに繋がる危険性があるからなんです。

もともと通信事業者は電話の時代から通信の中身にはまったく感知してきませんでした。最近盛んに議論されているネットワークの中立性的な考えに立てば、ボットだろうが SPAM だろうが DDoS 攻撃だろうが、受信者が受信拒否をしない限りすべての通信をそのまま届けるのが我々の仕事なんです。競合他社の友人の名言で「攻撃もまた通信なり」という言葉もありますが、基本的に通信の内容に関しては、なにも見ない。なにも足さないし、何も引かないというのが至極当然の常識でした。ウィスキーだと付加価値が高まりそうな言葉ですが、何もしないことのために一所懸命何かしている通信事業者ってどうよ？ というのがインターネット時代になってからの少し自虐的な感想だったりします。

以前から通信事業者が通信の秘密を侵害してでも行動を起こすのは、サービスがダウンする一歩手前。すなわち緊急避難的な対応に限られていました。2001 年から 2003 年に猛威を振るったワームが吐き出したトラフィックの暴力に対して、緊急避難的に通信を遮断したり、通信するポートを制限した ISP はありましたが、これは本当にシンヤム (真にやむにやまれない) な状況になって動いたのです。

ところがボットは国内に 40 〜 50 万台もの PC に感染していて、いつでも日本のインターネットに対して壊滅的な被害を与えられる可能性を秘めている。可能性というより誰かがボタンを押せばそれで終わり。しかもリスクの根治対策はユーザー PC のセキュリティ対策と同義であるとすると、もうこれは地道にユーザー啓発をやるしかないわけです。

しかし現実はそんなに簡単なことではありませんでした。ISP の経営はどこも裕福な状況ではありません。既に日本の人口へ減少し始め市場の奪いあいというか、パイの成長無き ISP の生き残り合戦が始まるのが数年後だとすると、それまでにユーザーをどんどん増やして囲い込んでおきたい気持ちも強くなるのは当然。ボット感染者へのダイレクトなユーザー啓発のように収入に繋がらずコストばかりかかり、場合によってはユーザーの心象を害しユーザーを減らす可能性のある取り組みに対しては二の足を踏むのが当然です。こんな悩みや迷いを持ちながら ISP は動き出しました。

ボット感染者向け対策イメージ

お客様のため自分たちのための取り組みとしてボット対策に参加を決めたわけです。当初は Telecom-ISAC Japan の会員 ISP 8 社でスタートを切りましたが、既に他の ISP から参加したいという申し出が来ています。Telecom-ISAC Japan でよく使う言葉ですが、ようは Our security depends on your security. なんです。また多くの ISP が足並みを揃えて少しずつセキュリティ対策を実施し、少しずつしかも確実にレベルを引き上げていくことが重要だと思っています。ドベネックの樽 (どこか 1 ヶ所のレベルが低いと、全体のレベルがそのレベルに下がってしまう) の理屈は日本のインターネットにも適用できると思っています。

ページのトップへ

ボット対策のゴールは何処？

今回はじめたボットネット対策のゴールは何か。これもよく質問を受けます。もちろん「毎月何人のユーザーに啓発しよう！」的な数値目標が無いわけではありません。実は一番重要なことは、日本全体のセキュリティ レベル、特に底の水準を世界と比較して少し上げてやることが本当の目標なんだろうなと思っています。水準を上げることで、日本のネット環境が悪さをする連中から見て「住みにくい状態」になればそれがゴールだと思います。ただレースのようにゴールに飛び込むことが目標ではなく、一定のレベルを維持しつづけられる仕組みを作る。ユーザーや ISP が大変な努力をしなくても楽にセキュリティレベルを維持できるような仕組みをつくっていくことが重要だと思います。更に今回のように国家の予算を当てにしなくても受益者負担のビジネスモデルが回っていくようになれば、それが本当のゴールだと思っています。

見方を変えれば、ボットなど自動化プログラムが行う感染活動は国境を意識して悪さをしているわけではありません。たまたまリーチできる脆弱な IP アドレスが自分の近傍にあるから利用しているだけに過ぎません。しかし悪さをしている人間は別の意識が働いているかもしれません。インターネット犯罪の取締りの厳しい国では、国内のサイトに対して攻撃をしかけるより他国の脆弱な PC やサイトを狙ったほうが、捕まるリスクが低いかもしれません。

先日海外の国際会議から帰ってきた友人が言っていた言葉が印象に残っているのですが、「廃墟のように灰色に広がるスラム、子供のときから他人のモノを奪うことでしか生活が出来ない人達がいた。インターネットは彼らにとって安全な収入源になっている。」とこんな実態を目の当りにしたそうだ。
インターネットは善悪含め全てと繋がっている。安心安全なインターネットを実現するためには相当な努力が必要でなんですよね。下の図は通称「強羅モデル」と呼ばれてます。箱根の強羅で合宿した時、夜中の 3 時頃にホワイトボードに書きなぐった図なんです。本当はもう寝ようと思っていた矢先に、プツンと切れた人がいて喧々諤々議論が始まって、国敗れて山河有りではありませんが、この強羅モデルが出来上がりました。交通戦争とインターネットを比較するのは適当かどうか分からないが、息のながい取り組みが始まったということなのだと肝に銘じています。

インターネットはまさに交通戦争前夜の状態

ここで、一つマイクロソフトさんにお願いがあります。
日本のインターネットのセキュリティ水準が上がっていく様子を測定する方法はマイクロソフトさんに聞いてみるのが一番ではないかと。MSRT などで得られる情報を OS の言語別にランキングを出していただけると助かります。日本語 OS を使っている人達のレベルがアップしていくバロメータになれば良いなぁと思っています。
これは、教育水準を上げるのと同じように地味で継続的な努力が必要だと思っています。

ページのトップへ

最後に

最後に、サイバークリーンセンター設立までの、小ネタをご紹介しようと思います。サイバークリーンセンターの名称を決定するまでには様々な議論がありました。もちろん、最重視されたのは Web サイトの URL がわかり易く且つ短く名は体を表すようなものが望ましいということで、空きドメイン名探しから入りました。「go.jp」ドメインって結構空いていて取り放題というわけではないですが、三文字ドメインの選択肢の幅も比較的ありました。そんななかで、CCC.go.jp が有力候補に残ってきたんです。今回のプロジェクトは総務省と経済産業省の連携プロジェクトなので、両省の思いが伝わるものにしたい。なんとなく「●●クリーンセンター」か「●●クリーニングセンター」が良いだろうということになったんですが、「●●」が決まらない。Computer にすると経済産業省の単独施策のようだ、Communication にすると総務省寄りか、うーん。Computer & Communication にすると有名某社の事業部名だし、重い空気が会議室を支配したときに、Telcom-ISAC Japan の H 君が僕の肩をチュンチュンと突っついて書いた文字が、サイバー「Cyberspace」だったんです。こうして泥沼の総経戦に突入する可能性もあった事態を円満に回避しサイバークリーンセンターに決定されたんです。細かい話を言えば、クリーニングセンターにするかクリーンセンターにするかに関してもかなり悩みました。英語圏の語感では Cleaning Center が良いんだけれど、クリーニング屋さんの隣に住んでいる僕としては生活感的に少し抵抗がありました。なんだかネット予約のクリーニング屋さんみたいだしね。じゃークリーンセンターにしようかな、なんて信号待ちの交差点で考えていたら、目の前を某自治体の清掃車が通り過ぎていって、其のどてっぱらには「●●クリーンセンター」という文字が躍っていた、読者の皆さんからみれば何とくだらないことで悩んでいるんだと思われるに違いないが、いろんな人の顔が現れては消え相当に気を使いました。この名前が末永く国民に親しまれ、サイバークリーンセンターが役立つ組織として定着していくことを願っております。

名前がきまりましたので、次はロゴマークを決めようということになりました。デザイン会社に我々の取り組みを説明して、複数の案を作成してもらったんです。そしたらデザイン会社の出来が良くて、某氏など「勤め暦 26 年だけどこんなに良い案が沢山出てきうたのは初めて、迷うなぁ。」という声が出るほど、やはり、事業のコンセプトが明確だとデザインもしやすいのかなぁと思ったりしました。このロゴにこめた思いを少し紹介させてください。色はブルーを基調に、これはホームページ全体に言える事で、クリーンなイメージを伝えるために、ブルーを基調にしています。そしてブルーリボンがインターネット全体を包み込み、赤十字ではないですがブルーの十字で高潔さ安心感や信頼感をイメージしてもらうとともに、ユーザーや感染しているPCをクリーンな世界へ導く力強い矢印。こうして出来上がったのがサイバークリーンセンターのロゴマークなんです。そして最後に考慮したこと、もはや読者の方にとってはどうでもよい話かもしれませんが、このロゴが白黒で印刷されても、こめた思いがあせることなく、カラーの状態と同じようなインパクトがあるかどうか。これも大事な選考基準でした。こうして出来上がったロゴマークを今後も大事にしていきたいと思います。

サイバークリーンセンターのロゴ

このロゴマークは僕にとって、サラリーマン人生で最も思い出深いロゴマークになるに違いありません。サイバークリーンセンターの立ち上げに昼夜を問わず寝る間を惜しんで取り組んでくれた皆さんに感謝します。休日返上したり奥さんから冷たい仕打ちをうけても頑張った仲間たち、支えてくれたセキュリティ業界の友人達に感謝します。
「ありがとう、そしてこれからもよろしく」

最後にサイバークリーンセンターを取り上げていただいたニュース記事をご紹介します。参考にしていただければ幸いです。

この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。

ページのトップへ