メインコンテンツにスキップする

ボットネットとは

ボットネットとは

ボットネットの仕組み

ボットネットは、ハッカーが大規模な攻撃を実行する能力を拡大、自動化、高速化する目的で構築されます。

1人の人間や小規模なサイバー犯罪者がローカルデバイスで実行できることは限られています。しかし、わずかな費用と時間を投資するだけで、大量のマシンを追加で入手して、より効率的な運用に活用することが可能になります。

ボットハーダーは、ハイジャックされたデバイスの集合体をリモートコマンドで統率します。ボットをコンパイルすると、ハーダーはコマンドプログラミングを使用して次の動作を実行します。コマンドの実行者は、ボットネットを立ち上げた人物の場合もあれば、レンタルで運用している人物の場合もあります。

ゾンビコンピューター(またはボット)とは、ボットネットの構築に使用するために乗っ取られた各ユーザーデバイスを指します。これらのデバイスは、ボットハーダーが設計したコマンドに無条件に従って動作します。

ボットネット構築の基本的的な工程を、いくつかの単純なステップに分解すると次の通りです:

  1. 事前準備と攻撃:サイバー犯罪者が脆弱性を悪用し、マルウェアでユーザーを攻撃します。
  2. 感染:ユーザーのデバイスがマルウェアに感染し、デバイスがサイバー犯罪者の支配下に置かれます。
  3. 活動の開始:サイバー犯罪者が、感染したデバイスを動員して攻撃を実行します。

第1段階における攻撃は、サイバー犯罪者が脆弱性を見つけた時点で開始されます。サイバー犯罪者は、標的のWebサイト、アプリケーション、行動パターンにおける弱点を調べます。その目的は、ユーザーが知らないうちにマルウェア攻撃を受けてしまうような行動を取らせることです。よく見られるのは、サイバー犯罪者がソフトウェアやWebサイトのセキュリティ問題を悪用したり、メールやその他のオンラインメッセージを通じてマルウェアを配信したりするケースです。

第2段階ではユーザーが感染します。ユーザーがデバイスを危険にさらすような行動を起こした時点で、ボットネットのマルウェアに感染します。これらの手法の多くは、ソーシャルエンジニアリングによってユーザーを誘導し、専用のトロイの木馬をユーザーにダウンロードさせるという方法です。または、より攻撃的な方法を使用して、感染したサイトへアクセスさせてドライブバイダウンロード攻撃の標的とすることもあります。配信方法がどんなものであれ、サイバー犯罪者が複数ユーザーのセキュリティを侵害するという結果になります。

サイバー犯罪者の準備が完了すると、第3段階が開始されます。コンピューターが犯罪者の管理下に置かれます。攻撃者は感染したすべてのマシンを組織化し、リモートで管理可能な「ボット」のネットワークを構築します。多くの場合、サイバー犯罪者が感染させ、制御しようとするコンピューターの台数は、数千台や数万台、時には数百万台にも及びます。サイバー犯罪者は、大規模な「ゾンビネットワーク」、つまり組織化が完了したボットネットの活動を統率することができるようになります。

これだけでは「ボットネットが何をするか?」という疑問への十分な答えになっていないかもしれません。感染してしまうと、管理者レベルが必要である次のような動作がゾンビコンピューターで実行可能になります:

  • システムデータの読み書き
  • ユーザーの個人データの収集
  • ファイルやその他のデータの送信
  • ユーザーの活動の監視
  • 他のデバイスの脆弱性の検索
  • 任意のアプリケーションのインストールと実行

ボットネットが制御するデバイス

インターネット接続にアクセスできるデバイスであれば何でも、ボットネット構築の候補となり得ます。

今日使用されている多くの機器には、何らかのコンピューターが内蔵されています。その中には、ユーザーがその存在に気づかないものもあります。コンピューターベースのインターネットデバイスのほぼすべてに、ボットネットに悪用される脆弱性があります。つまり、脅威は絶えず増加の一途をたどっているのです。自分自身を守るために、ボットネットに乗っ取られる代表的なデバイスに注意してください:

Windows OSやmacOSで動作するデスクトップやノートPCのような従来のコンピューターは、長きにわたってボットネット構築の格好の標的となってきました。

モバイルデバイスもまた、より多くの人々が使用するようになるにつれて、新たな標的となっています。過去のボットネット攻撃でも、スマホやタブレットが標的とされた事例が目立ちます。

インターネット接続を可能とし、サポートするために使用するインターネットインフラのハードウェアも、ボットネット攻撃の標的となる可能性があります。ネットワークルーターやWebサーバーが標的になることは周知の事実です。

モノのインターネット(IoT)デバイスとは、インターネット経由で相互にデータを共有するあらゆる接続デバイスを指します。コンピューターやモバイル機器の他にも、たとえば次のようなものがあります:

  • スマートホームデバイス(温度計、防犯カメラ、テレビ、スピーカーなど)
  • 車載インフォテインメント(IVI)
  • ウェアラブルデバイス(スマートウォッチ、フィットネストラッカーなど)

これらのデバイスはすべて、大規模なボットネットの構築に悪用される可能性があります。デバイスの技術市場は、低価格かつ低セキュリティのデバイスであふれ返っています。このようなデバイスは、ユーザーにとって深刻な脆弱性をもたらします。ウイルスやマルウェアへの対策を講じていなければ、デバイスはボットハーダーの餌食となって気づかないうちに感染してしまうことでしょう。

ボットネットの管理方法

コマンドの送信は、ボットネットの制御に不可欠な要素です。しかも、送信者が誰であるかわからないように、匿名性も両立させる必要もあります。そのため、ボットネットはリモートプログラミングによって操作されます。

コマンド&コントロール(C&C)は、すべてのボットネットの指示や命令の発信元となるサーバーです。ボットハーダーのメインサーバーであり、各ゾンビコンピューターはこのサーバーからコマンドを受信します。

各ボットネットに直接、または間接的にコマンドを送信して命令可能なモデルは次の通りです:

  • 集中型クライアントサーバーモデル
  • 分散型ピアツーピア(P2P)モデル

中央集権型モデルは、1台のボットハーダーサーバーによって運用されます。このモデルの変種は、サブハーダーまたは「プロキシ」の役割を果たすサーバーの追加が可能です。階層が中央集権型であれプロキシ型であれ、ボットハーダーからのすべてのコマンドは配下のコンピューターへと伝搬されます。いずれの構造も、ボットハーダーが発見される可能性があるため、これらの古い方法は理想的とは言えません。

分散型モデルは、すべてのゾンビコンピューターが指示を担当する構造です。ボットハーダーからいずれかのゾンビコンピューターへの連絡が可能である限り、ゾンビコンピューター同士でのコマンドの送受信が可能となります。ピアツーピア(P2P)の構造を使用すると、ボットハーダーの特定がさらに困難になります。旧来の中央集権型モデルより明らかに優れているため、最近はP2Pがより多く採用される傾向にあります。

ボットネットを使用する目的

ボットネットの作成者は常に何か見返りを求めています。金銭の場合もあれば、個人的な満足の場合もあります。

  • 金銭の窃取:恐喝や直接的な行為により、お金を窃取します
  • 情報の窃取:機密データや非公開のアカウントへのアクセス権を窃取します
  • サービスの妨害:サービスやWebサイトをオフライン化します
  • 暗号通貨詐欺:ユーザーデバイスの処理能力を暗号通貨のマイニングに使用します
  • 他の犯罪者へのアクセス権の販売:無防備なユーザーへの詐欺行為を促進します

ボットネットを構築する動機のほとんどは、他のサイバー犯罪と同様です。多くの場合、価値あるものを盗むか、他人に迷惑をかけることが目的となっています。

場合によっては、サイバー犯罪者はゾンビマシンの大規模なネットワークへのアクセスを開設し、販売することもあります。買い手は通常、別のサイバー犯罪者であり、レンタルまたは完全な所有権に対する対価を支払います。たとえば、スパムメールの送信者が、大規模なスパムメール活動を実行に移す際に、こうしたネットワークをレンタルしたり、購入したりします。

サイバー犯罪者を大きく利する可能性があると知っていながら、単に作成できるからという理由だけでボットネットを作成する人もいます。動機が何であれ、ボットネットの使い道は結局のところ、ボットネットに支配されたユーザーとその他の人々の両方に対するあらゆる攻撃に他なりません。

ボットネット攻撃の種類

ボットネットはそれ自体が攻撃となることもある一方で、二次的な詐欺やサイバー犯罪を大規模に実行するための理想的なツールでもあります。よくあるボットネットの手口は次の通りです:

分散型サービス拒否(DDoS)は、Webトラフィックでサーバーに過負荷をかけ、クラッシュさせる攻撃です。ゾンビコンピューターの集団によりWebサイトやその他のオンラインサービスに大量の通信を行うことで、それらのサービスを一定期間停止させます。

フィッシングは、信頼できる人物や組織になりすまし、貴重な情報を騙し取る手口です。典型的な方法として、スパムを大規模に拡散し、銀行のログイン情報やメールの認証情報などのユーザーアカウント情報を窃取します。

ブルートフォース攻撃は、WebアカウントのIDやパスワードを総当たりして認証を突破することを目的としたプログラムにより実行されます。辞書攻撃やクレデンシャルスタッフィングは、脆弱なユーザーパスワードを悪用してデータにアクセスするために使用します。

ボットネットから身を守る方法

自分自身や他人の安全を脅かす脅威を考慮すると、ボットネットのマルウェアからの自衛は緊急の課題といえます。

幸い、デバイスをソフトウェアで保護したり、使用する際の習慣を少し変えたりするだけで、自分の身を守ることができます。

ボットネットから身を守るための6つのヒント

  1. スマートデバイスのパスワードは、すべてセキュリティ強度が高いものに変更しましょう。複雑で長いパスワードを使用することで、「pass12345」のような強度が低く短いパスワードよりもデバイスの安全性を高めることができます。
  2. セキュリティが低いデバイスは購入しないようにしてください。デバイスのセキュリティを見分けるのはそう簡単ではないかもしれませんが、安価なスマートホームがジェットの大部分は、セキュリティよりも利便性を優先する傾向があります。購入前に、製品の安全性やセキュリティ機能に関するレビューをチェックするようにしましょう。
  3. すべてのデバイスの管理者設定とパスワードを更新しましょう。別のデバイスやインターネットとの接続が可能なデバイスは、プライバシーやセキュリティに関する設定可能な項目をすべてチェックしてください。スマート冷蔵庫やBluetooth搭載自動車があれば、それらも忘れずチェックしましょう。これらのソフトウェアシステムへのアクセス用パスワードは、メーカーによる初期設定のまま放置されがちです。ログイン用の認証情報やプライベート接続を初期設定のままにしておくと、接続中の各デバイスにサイバー犯罪者が侵入し、感染する場合があります。
  4. メールの添付ファイルにも注意しましょう。最善の方法は、添付ファイルをダウンロードしないことです。添付ファイルをダウンロードする必要がある場合は、ファイル名や拡張子に不審な点があるかどうか注意深くチェックし、送信者のメールアドレスが信頼する人物のものかどうか確認してください。また、ウイルス対策製品を使用し、添付ファイルのダウンロード前にスキャンし、マルウェアの存在をチェックしましょう。
  5. 受信したメッセージのリンクは、絶対にクリックしないでください。テキスト、メール、ソーシャルメディア上のメッセージはすべて、ボットネットマルウェアの感染経路となる可能性があります。アドレスバーにリンクを手動で入力することで、DNSキャッシュポイズニング攻撃やドライブバイダウンロード攻撃を回避することができます。また、公式サイトの正式なリンクを確認するようにしてください。
  6. 高性能なウイルス対策製品をインストールしましょう。強力なインターネットセキュリティ製品は、トロイの木馬やその他の脅威からコンピューターを保護するのに役立ちます。Androidのスマホやタブレットを含む、すべてのデバイスを保護することができる製品を購入してください。

ボットネットは、一度ユーザーのデバイスに根付いてしまうと、その活動を停止することが困難です。悪意のある乗っ取り行為を前述の方法で防ぎましょう。これにより、乗っ取られた後のフィッシング攻撃やその他の攻撃の被害から各デバイスを保護することができます。

関連記事:

ボットネットとは

ボットネットとは
Kaspersky logo