ボットネットとは？

ボットネットの定義

文字通り、ボットネットとは、スパムメール送信、マルウェア配布、DDoS攻撃などに使われる、乗っ取られたコンピュータの集まりを指します。起動する際、デバイス所有者の許可は不要です。 

単体ではネットワークに大きな害を及ぼすものではなく、チャットルームの管理やオンラインゲームでの得点確認など重要な作業にも利用されます。ネットワーク内でこれらを統率する者はボット操作者と呼ばれ、各デバイスは単にボットと呼ばれます。

もともと、ボットネットは単調な作業をより簡単にするために作られました。たとえば、チャットルームの管理では規約違反者を排除する役割を果たします。ボットネットはチャット内の発言を監視し、人手では負担が大きい作業を軽減します。 

しかし、一部の悪意ある攻撃者は、他システム内でシームレスにコードを実行できる特性を利用し、ボットネットを別の目的で悪用する方法を編み出しました。これにより、パスワード窃盗や特定デバイス上のキー入力の記録などが行われています。 

ボットネットはどのように機能するか？

このプロセスには複数の段階があり、ボットネットはその能力を最大限に発揮すると大規模な攻撃が可能です。ハッカーはボットネットの能力向上のため、補助的な機器やデバイスも活用します。仕組みを深く理解するには、重要な用語を把握することが大切です。

ボット操作者は、ネットワーク内の乗っ取られたデバイスを率いる存在です。リモートコマンドにより、各デバイスに特定の動作を指示します。

「ボット」または「ゾンビコンピュータ」とは、ボットネット構築に利用される感染済みのシステムやデバイスを指す用語です。これらは、自ら判断せず、指示に従うだけです。 

ボットネット構築の段階

ボットネットの仕組みを理解するためには、その構築過程を知る必要があります。手順は以下の3つの段階から成ります。

1. ‍ステージ1 - 準備と脆弱性の発見 

この段階では、攻撃者がユーザーのデバイスに侵入するための脆弱性を探し出します。 

ウェブサイト、人間の行動、アプリなどから脆弱性を洗い出し、標的が知らず知らずのうちにマルウェアに晒されるよう仕掛けを整えます。

多くの場合、ハッカーはウェブサイトやソフトウェアの脆弱性を突きます。 

また、マルウェアはメールや不審なメッセージを通じても配布されます。

2. ‍ステージ2 - マルウェアによる感染

次に、ボットネットはマルウェアを作動させ、エンドユーザーを感染させセキュリティを脅かします。通常、感染はトロイの木馬やソーシャルエンジニアリングによって行われます。 

一部の攻撃者は、ドライブバイダウンロードといった手法も用い、デバイスに感染させます。これらの方法で、対象デバイスにボットネットマルウェアが仕込まれます。

3. ‍ステージ3 - 対象デバイスの制御

最後の段階は、各デバイスの制御権を握ることです。ハッカーは感染した機器を体系的に管理し、リモートで制御する仕組みを構築します。通常、数千台のデバイスがゾンビネットワークとして統括され、この段階が成功すると、対象デバイスへ管理者並みのアクセスが可能となります。

ボットネットが正常に動作すると、ハッカーはシステム内のデータの読み書き、個人情報の抜き取り、対象デバイスからのデータ収集、活動の監視、さらなる脆弱性の探索などを行えるようになります。

ボットネット攻撃の種類

• DDoS

DDoS攻撃、または分散型サービス妨害攻撃は、サーバーの通常のトラフィックを乱し、利用者がサイトにアクセスできなくするものです。多様な乗っ取られたシステムからの混乱を利用することで、その効果が高まります。攻撃に使われるデバイスは、コンピュータ、PC、IoTデバイスなど多岐にわたります。 

別の視点から見ると、DDoS攻撃は意図的な「交通渋滞」に似ており、利用者が目的地に辿り着けなくなります。

• フィッシング

ボットネット攻撃の中でも一般的なフィッシングは、攻撃者が信頼できる存在になりすまし、パスワードや銀行情報などの重要情報を引き出す手法です。これらの情報を利用して、データや資金を盗むことが可能となります。攻撃は、メールフィッシング、vishing、smishingなど多様な手段で行われ、大規模なフィッシング攻撃はスピアフィッシングやホエールフィッシングで実施されることが多いです。

• ブルートフォース攻撃

全体のセキュリティ侵害の5%以上を占めるブルートフォース攻撃は、認証情報を推測する方法に基づいています。攻撃者は正しい情報が得られるまで試行を繰り返し、対象システムへの不正アクセスを試みます。単純ながら成功率が高く、専用ツールも存在します。 

ボットネットの制御モデル

ボットネットが効果的に機能し、目的を達成するためには、攻撃者が常にその制御を維持する必要があります。通常、このためには2種類のモデルが用いられます。

モデル1 - 中央集権型（クライアント・サーバー型）

中央集権型ボットネットは、基本的なネットワークインフラを用いて攻撃対象のデバイスと通信を確立します。コマンド＆コントロールサーバーによる強固な通信が特徴です。 

しかし、これらのサーバーは容易に特定され停止されるため、C&Cサーバーが停止または乗っ取られると、ボット操作者はボットと連絡が取れなくなります。 

モデル2 - 分散型（ピアツーピア型）

高度な分散型モデルでは、ネットワークに接続されたすべてのノードが互いに通信する仕組みを採用しています。専用のC&Cサーバーや認証を必要とせず、全感染ノードが連携して動作します。

このP2Pモデルのボットネットは、中央集権型に比べ堅牢で、攻撃を受けにくいという利点があります。近年、このモデルの人気が高まっています。 

ボットネットの例

• Miraiボットネット攻撃

既に耳にしたことがあるかもしれません。結局、Miraiは現在でも最も強力なボットネットのひとつです。 

2016年に初めて確認されたこの攻撃は、Linux搭載のウェブカメラやルーターに対して高強度のDDoS攻撃を仕掛けました。インターネットスキャンに使用される機器が感染し、初期設定のパスワードを変更していないユーザーが狙われました。 

さらに、Miraiの元コードが公開されたことで、他のハッカーが改変し、より強力なマルウェアを作り出す事態となりました。

• Zeusボットネット攻撃

2007年に発生したこの攻撃は、史上悪名高い事件のひとつです。当初は、スパムやフィッシングメールを通じてエンドユーザーの銀行情報を盗み出す目的で設計されました。 

この攻撃では、デバイス感染にトロイの木馬プログラムが用いられ、その後、複数の亜種が現れました。CryptoLockerランサムウェアなどがその例で、2009年のDamballaの推計では、360万ホストが感染したとされています。 

‍

ボットネットは何に使われるか？

攻撃者の目的により、ボットネットは金銭やデータ窃盗をはじめとした様々な目的で利用されます。一般的な使用例は以下の通りです。 

• 詐欺や金銭窃盗 

ボットネットを利用して、直接または間接的に金銭を盗取する手法があります。フィッシングメールや偽の銀行サイトの作成などで振込情報などが狙われます。 

• データ窃盗 

ユーザーデータは市場で高い価値を持つため、ハッカーは個々の情報を盗むか、企業のデータベースに不正侵入します。後にその情報を第三者に売却し利益を得るケースもあります。 

• 仮想通貨のマイニング 

仮想通貨の普及に伴い、ボットネットを利用してマイニングを行う攻撃も見られます。この手法はcryptojackingと呼ばれます。 

• スパム送信やフィッシング詐欺の実施 

ボットネットを使えば、攻撃者は大量のスパムメール送信やフィッシング詐欺を一斉に行えます。専用のスパムボットネットも存在します。 

手法は異なれど、目的は金銭やデータを盗むことに尽きます。しかし、攻撃者は単に実力を誇示するためにボットネットを利用する場合もあり、企業データを盗み出しダークウェブに流出させる事件も発生しています.

ボットネットの追跡方法

ボットネットの早期発見は、被害を最小限に抑える上で重要です。しかし、このマルウェアは目立った処理能力を消費しないため、システム内に存在しているかの判断は困難です。 

それでも、以下の方法で追跡が可能です:

• 帯域使用量の急増やインターネット速度の急落が見られる場合、ボットネットの存在を疑ってください。ボットネットはスパム送信やDDoS攻撃のために帯域を消費します。 
• システムファイルに予期しない変更があれば、ボットネットの関与が考えられます。
• 特定のプログラムが終了できず、強制的に動作し続ける場合も注意してください。
• OSの更新が妨げられる場合、ボットネットが原因の可能性があります。
• タスクマネージャーに不明なプロセスがある場合も、兆候として疑ってよいでしょう。 
• 信頼性の高いアンチウイルスソフトは、ボットネットをはじめ各種マルウェアを容易に検出できます。

コンピュータをボットネットから守る方法

ボットネット攻撃は適切に対処しなければ大きな被害を及ぼす可能性があります。以下の対策で攻撃を防ぐことが可能です。

• OSのアップデート 
  

常に最新のソフトウェアを利用してください。更新により、既知の脆弱性に対応するセキュリティパッチが適用され、ボットネットマルウェアの侵入リスクを減らせます。

• 信頼できるソースからのダウンロード 
  

攻撃は、標的を不正な添付ファイルやリンクで誘導することが多いため、不審な送信元からのファイルはダウンロードしないよう注意が必要です。業務用では、PDFをパスワード保護するのが望ましいです。

• 怪しいリンクにアクセスしない 
  

不審なリンクはフィッシング攻撃の温床となるため、決してクリックしないでください。

• ウェブサイトのセキュリティに注意 
  

セキュリティ対策が不十分なウェブサイトは、ボットネットの温床となる可能性があります。基準を把握し、疑わしいサイトは避けるよう努めてください。

• P2Pダウンロードを避ける 
  

P2Pダウンロードサービスは悪意あるファイルが含まれていることが多いため、可能な限り利用を控えましょう。

• 新規デバイス導入時のログイン情報変更 
  

新しいウェブカメラ、ルーター、IoTデバイス導入時は、必ず初期設定のログイン情報を変更してください。初期パスワードはボットネット攻撃を容易にします。

• ファイアウォールを利用して守る 
  

ファイアウォールは、不正な接続を自動で遮断し、ボットネットやその他のマルウェアからコンピュータを守る有効な手段です。

• 強力なパスワードと2要素認証 
  

強固なパスワードは各種マルウェア攻撃のリスクを下げる賢明な方法です。2要素認証を導入することで、ボットネットマルウェアの侵入をさらに防げます。 

• アンチウイルスソフトの導入 
  

信頼できるアンチウイルスソフトは、ボットネットマルウェアの初期段階で検出し、被害が発生する前に除去してくれます。 

• 信頼できるセキュリティツール 
  

有名なセキュリティツール、Wallarmを活用することで、ボットネットを排除し、システム全体の安全性を高め、早期に兆候を捉えた上で対策を講じることが可能です。

‍

‍