「シグネチャベースのボット対策は限界」BOTネット対策2006
http://internet.watch.impress.co.jp/cda/event/2006/06/08/12256.html
Interop Tokyo 2006:激化する悪質なボットネットとの戦い
http://www.itmedia.co.jp/enterprise/articles/0606/09/news028.html
だからといって、「ヒューリスティック機能」で誤検知しまくってもしょうがないし。
そもそも、ボットに感染する人なんてのは、まず、そういう防止用ソフトを入れようともしない人なわけだから、本気で止めようと思ったら、ネットワーク側である程度抑止するしかないんじゃないの?
ボットネットが利用されたときに、特異なトラフィックとかは発生しないのかね? そういう予兆を検知して、ネットワーク側でトラフィック制限かける、とかの方が現実的な解のような気がするんだが。
もっとも、ボット感染者を見つけて、サポセンが連絡したところで、
「そんなものに感染してない! 勝手に決めつけるな! 人の通信盗み見てんのか?!」
と言われるだけなような気もするけどね。知らぬ間に感染するような人は特に。
「バカ相手に根気よくPCを直させるサポセン」と、「バカ相手にセキュリティ製品を導入させる営業」とがいないと、ボットネットの撲滅は難しいでしょう。
あと、やたらとその手のアングラなことをアジってPCのセキュリティ機能をカットさせてる雑誌を取り締まるとか。
INTEROPなんかで議論したって、ボットネットを構成している人は、このカンファレンスやINTEROP自体に興味を持つわけがないんだから。
・・・だから、「公衆衛生」の手法を学ぶべきなんだって。これからのセキュリティ業界は。