有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は6月21日、命令の受信にPtoP型の通信を使用するボットや、既存のPtoPファイル共有ネットワークと関連するボットやボットネット(PtoP型ボット)の実態とその特徴などについて調査を行い、調査結果を発表した(PDF形式)。
今回の調査では、過去の調査の中で分析が行われた「Phatbot/Agobot」のソースコードから、PtoPメカニズムを実装していると思われる部分のコードに着目し、その挙動を分析した。また、検索エンジンを用いて入手することができるボットのソースコードの中にPtoPメカニズムの実装が含まれているかを調査した。さらに、PtoP型の通信を行うといわれているボット検体を入手し、静的分析を実施することで、感染動作の詳細について調査した。
Phatbot/Agobotのソースコードを分析した結果、同ボットのソースコードに含まれるPtoPメカニズムは、小規模なPtoPネットワークを形成するが、ボットネットを制御するための処理が未実装であることが分かった。
加えて、実際に出現したW32.Nugache.A@mmならびにTrojan.Peacommを静的分析した結果、これらも、従来のIRCを用いたC&C(指揮統制)メカニズムをPtoP型の通信で置換するものではないことが分かった。
現状のボットにPtoPネットワークを構築する機能が実装されていない理由の1つは、同報性・同期性に優れているIRCネットワークのほうが、PtoPネットワークよりもDDoS攻撃やスパムメール送信に適しているためと推測される。
また、IRCをC&Cサーバとする現状のボットネットは、C&Cサーバを容易に変更でき、十分なネットワークの可用性を持つうえ、管理がしやすいというメリットがあるのに対し、PtoPネットワークは、高可用性はあるものの、安定したPtoPネットワークの構築には一定数以上のノードが必要であり、ネットワークが一度構築されると管理が難しいことも、PtoPメカニズムへ移行されない理由と考えられる。
一方で、TCPポート80番や443番を使うIRCサーバに接続するボットの急増が報告されている。これは、ファイアウォールなどによるアウトバウンドのトラフィック制御の影響を受けないポートを使用するようになったと想定できる。また、ウェブサーバがC&Cサーバとなって、HTTPプロトコルで制御されるボットネットが拡大しているという懸念もある。
1つのボットネットを形成するボットの数を小規模に抑えるボットネットの小規模化や、内部ネットワークを標的とした感染活動、むやみな攻撃活動の抑制など、ボットネットの活動は潜行化の気配が見られ、既存のプロトコルと容易に判別可能なPtoP通信が行われる可能性は低いという。
JPCERT/CCでは、独自のPtoP型の通信メカニズムを実装したボットによるボットネットの拡大よりも、恒常的に発生しうるトラフィックであるHTTPやHTTPSに扮した通信、「Winny」などの既存のPtoPファイル共有ネットワーク、「Skype」などのPtoP型のVoIPネットワークやIMに利用されている既存の大規模なPtoPネットワークを利用したマルウェアの拡散が、直近の脅威として懸念されるとみている。