オンラインバンキングを標的としたボットネットDridexが、テイクダウン後に衰えを見せるどころか、さらに勢いを増しているということで話題(Dridexの解体, Botnets spreading Dridex still active)になっています。
テイクダウンの是非については昔から賛否両論ありまして、割れ窓理論とよく似た議論が交わされています。
端的に言えば、「どうせすぐ復活するから、やる意味ないよ」という批判をよく耳にするのです。
参考までに、最近のボットネットテイクダウン作戦を対象に、VirusTotalにアップロードされているマルウェア検体数が、テイクダウン実施前後でどう変化しているかを調べてみました。
横軸は検体がコンパイルされた日付(つまり検体が作成されたであろう日付)、縦軸はアップロードされている検体数で、グラフごとに目盛りが異なるので注意。コンパイル日時は偽装可能なので、あくまで参考情報として。
Simdaのようにテイクダウンを境として活動が沈静化した事例もあれば、DridexやRamnitのように逆に活発化してしまった事例もあるという結果でした。
上述の割れ窓理論に関する否定的な主張として、「社会学は割れ窓理論に優しくはない。」という文章がWikipediaには載っていますが、「社会学はボットネットテイクダウンに優しくはない。」とも言えるようです。
それでも私個人的にはボットネットのテイクダウンに賛成派だったりします。賛成というのは、テイクダウンをやれば万事解決という意味ではなく、テイクダウンもボットネット一掃作戦の一部として有効だという意味です。実際、テイクダウンをきっかけとして捜査が進展することはよくあります。
テイクダウンの是非については昔から賛否両論ありまして、割れ窓理論とよく似た議論が交わされています。
端的に言えば、「どうせすぐ復活するから、やる意味ないよ」という批判をよく耳にするのです。
参考までに、最近のボットネットテイクダウン作戦を対象に、VirusTotalにアップロードされているマルウェア検体数が、テイクダウン実施前後でどう変化しているかを調べてみました。
横軸は検体がコンパイルされた日付(つまり検体が作成されたであろう日付)、縦軸はアップロードされている検体数で、グラフごとに目盛りが異なるので注意。コンパイル日時は偽装可能なので、あくまで参考情報として。
| Ramnit 公表されている感染端末数:320万台 テイクダウン実施時期:2015年2月 主導した機関:ユーロポール 参考情報:自身をブロックするウイルス |  |
| Simda 公表されている感染端末数:77万台 テイクダウン実施時期:2015年4月 主導した機関:インターポール 参考情報:Simdaボットを射る3本の矢 |  |
| Beebone 公表されている感染端末数:10万台 テイクダウン実施時期:2015年4月 主導した機関:ユーロポール |  |
| Vawtrak 公表されている感染端末数:8万2000台 テイクダウン実施時期:2015年4月 主導した機関:警視庁 |  |
| Dridex 公表されている感染端末数:非公開 テイクダウン実施時期:2015年10月 主導した機関:FBI、NCA 参考情報:Dridexの解体 |  |
Simdaのようにテイクダウンを境として活動が沈静化した事例もあれば、DridexやRamnitのように逆に活発化してしまった事例もあるという結果でした。
上述の割れ窓理論に関する否定的な主張として、「社会学は割れ窓理論に優しくはない。」という文章がWikipediaには載っていますが、「社会学はボットネットテイクダウンに優しくはない。」とも言えるようです。
それでも私個人的にはボットネットのテイクダウンに賛成派だったりします。賛成というのは、テイクダウンをやれば万事解決という意味ではなく、テイクダウンもボットネット一掃作戦の一部として有効だという意味です。実際、テイクダウンをきっかけとして捜査が進展することはよくあります。
