一般の人々がボットネットを知るようになったのは2000年代の初め、カナダ人の 10 代の若者が複数の有名なWebサイトにDDoS (Distributed Denial of Service)攻撃を仕掛けたときからです。「Mafiaboy」というハンドル名を使うこの人物は、Yahoo、ETrade、Dell、eBay、Amazonなどのサイトに数日間におよぶ攻撃を加え、大量のごみトラフィックをそれらのサイトに送りつけて、その攻撃はサーバーがクラッシュするまで続きました。Mafiaboy(本名は Michael Calce)はこの攻撃にボットネットを使ったわけではありませんが、セキュリティ専門家らはこの事件をきっかけとして、ボットネット(特定の種類のマルウェアに感染しているPCの大規模ネットワーク)とボットネットを利用して行われるDDoS攻撃がインターネットの安定性と完全性に対する大きな脅威になったことを警告しました。そしてそれは正しかったのです。
ボットネットは特定の種類のマルウェアに感染しているPCの大規模ネットワークで、ボットネットを利用して行われるDDoS攻撃はインターネットの安定性と完全性に対する大きな脅威となっています。
ボットネットの定義
ボットネットとは、攻撃者によって遠隔コントロールされる、マルウェアに感染しているPCの集まりを総称したものです。ボットネットは通常、1人の攻撃者や少人数の攻撃者のグループによって作成されており、1つのマルウェアに多数のマシンが感染しています。ボットネットを構成する個々のPCは「ボット」や「ゾンビ」と呼ばれ、ボットネットに含まれるPCのグループに最小サイズというものはありません。小規模なボットネットであれば、感染したマシンの台数は数百から2~3千、大規模なものなら数百万台に達することもあります。近年登場した有名なボットネットには、Conficker、Zeus、Waledac、Mariposa、Kelihosなどがあります。ボットネットは1つの実体としてみなされることが多いのですが、Zeusなどのマルウェアの作成者は、代金を支払ってくれるのであれば誰にでもそのマルウェアを販売します。そのため、数十のボットネットで同種のマルウェアが同時に動作するということもあり得ます。
感染の方法
攻撃者がPCを感染させ、ボットネットの一部とする主な方法には、ドライブバイダウンロードとメールの2種類があります。ドライブバイダウンロードによる感染では、攻撃者はいくつかの手順を踏む必要があります。まず人気のあるWebサイトから悪用できそうなぜい弱性を見つけ出します。そして自分の作成した悪意あるコードをそのサイトにロードし、そのコードを操作してGoogle ChromeやInternet Explorerなど一般的なブラウザーのぜい弱性を悪用します。そうしたコードは、ユーザーのブラウザーを、攻撃者がコントロールしている他のサイトにリダイレクトするのが一般的です。リダイレクト先のサイトからはボットコードがダウンロードされ、ユーザーのPCにインストールされます。メールによる感染の場合はいたってシンプルです。攻撃者は大量のスパムメールを送りつけ、メールには悪意のあるコードが含まれるWord文書やPDFを添付します。または、悪意のあるコードがロードされているサイトへのリンクをメールに記載しておく場合もあります。いずれの場合も、攻撃者のコードがいったんユーザーのマシンにダウンロードされると、そのPCはボットネットの一部となります。攻撃者はそのPCに遠隔から指令を送ったり、そのマシンからデータをアップロードしたり、新しいコンポーネントをダウンロードしたりするなど、望む操作を何でも実行できるようになります。
使用法
伝統的かつ最も一般的なボットネットの使用法は、DDoS攻撃です。DDoS攻撃は数百台、数千台のPCの処理能力と帯域幅を利用して、特定のWebサイトに大量のトラフィックを送信し、そのサイトをダウンさせます。DDoS攻撃にはさまざまな種類がありますが、目的はただ1つ、標的のサイトを停止させることです。攻撃者らは競争相手のサイトをダウンさせるためにこの手法を使っていましたが、その後Yahoo!やMSNなどのWebポータル、ショッピングやバンキングサイト、政府のサイトなどに標的を移しはじめました。Anonymous、LulzSecなどのグループは近年、DDoS攻撃を使用して軍需企業、銀行などの組織を攻撃しています。一方、サイバー犯罪者はDDoS攻撃でバンキングサイトを攻撃し、銀行へのさらなる攻撃を隠す手段としています。またボットネットはその他にも多数の方法で利用されています。スパマーはボットネットを使って大量のごみメールを送信し、サイバー犯罪者は大規模なクレジットカード詐欺にボットネットを利用しています。
対策
ボットネットが使用されるDDoS攻撃に対する防御の方法は多数ありますが、ほとんどはISPまたはサーバーレベルで行われるものです。ボットネットの一部になってしまうことを防ぐためにユーザーができることは、マシン上のすべてのソフトウェアにパッチを適用して最新の状態に保ち、怪しいリンクをクリックしないことです。攻撃者はユーザーのだまされやすい性質を利用して、悪意のある添付ファイルを開けさせたり疑わしいリンクをクリックさせたりして、新たなPCにマルウェアを潜り込ませようとするのです。ユーザーがだまされないように注意していれば、攻撃者がボットネットを作成して使用するのははるかに困難になるでしょう。