Telecom-ISACの小山さんがレポートしているのをいろいろなところでお聞きしていると、最近のボットネットはかなり進化しているらしいすねえ。例えば迷惑メール発信にしても、直接そのネットから外に出るときはダイナミックなポートを使ったりしていったん外の踏み台にアクセスしに行くため、単純なoutbound 25ポートのフィルタでは防ぎきれないとか。
ISSの高橋さんによると、DDNSとかを使いながら参照しているDNSもころころ変えているようで、攻撃やメール発信時のDNS参照をブロックすることにも対抗してきているらしいし。
結局は小山さんが述べておられるように、まっとうな通信とそうではない通信、というのを色分けできないと根本的な対策にはならない、ということなのかも知れないですが、までもそこに到達するまでにはまだもう一段階くらいあるような気もするんだよなあ。例えば通信自体に迷惑メールベイズによる点数付けを行ってしまうとか。このやり方ってISPとかがやるには法的に微妙な側面も含んでしまうような気もするけど、いずれにしても通信内容を少し精査するような形を取っていかないと対抗できないような気がするですよ。ペイロードの中身まで見る前に、ヘッダ情報のレベルでパターンを捉えることができるかも知れないけど、そういう機械的な特徴ってのは回避されてしまいそうな気がするんだよねー。一方通信内容ってのは、その内容を送りつけることが目的なので、変えるわけにはいかないしねー。
しかし、そういうのに対抗するならば暗号による通信が考えられるけど、暗号でばりばり飛び交っている、ということそのものが特異点というように捉えることができないかなあ。暗号ともなると、さらに中身を精査するとかいう方向性は微妙だしねえ。