ボットネットとは?

2013年5月2日

一般の人々がボットネットを知るようになったのは 2000 年代の初め、カナダ人の 10 代の若者が複数の有名な Web サイトに DDoS (Distributed Denial of Service)攻撃を仕掛けたときからです。「Mafiaboy」というハンドル名を使うこの人物は、Yahoo、ETrade、Dell、eBay、Amazon などのサイトに数日間におよぶ攻撃を加え、大量のごみトラフィックをそれらのサイトに送りつけて、その攻撃はサーバーがクラッシュするまで続きました。Mafiaboy (本名は Michael Calce)はこの攻撃にボットネットを使ったわけではありませんが、セキュリティ専門家らはこの事件をきっかけとして、ボットネット(特定の種類のマルウェアに感染している PC の大規模ネットワーク)とボットネットを利用して行われる DDoS 攻撃がインターネットの安定性と完全性に対する大きな脅威になったことを警告しました。そしてそれは正しかったのです。

ボットネット-title

ボットネットは特定の種類のマルウェアに感染している PC の大規模ネットワークで、ボットネットを利用して行われる DDoS 攻撃はインターネットの安定性と完全性に対する大きな脅威となっています。

ボットネットの定義
ボットネットとは、攻撃者によって遠隔コントロールされる、マルウェアに感染している PC の集まりを総称したものです。ボットネットは通常、1 人の攻撃者や少人数の攻撃者のグループによって作成されており、1 つのマルウェアに多数のマシンが感染しています。ボットネットを構成する個々の PC は「ボット」や「ゾンビ」と呼ばれ、ボットネットに含まれる PC のグループに最小サイズというものはありません。小規模なボットネットであれば、感染したマシンの台数は数百から 2 ~ 3 千、大規模なものなら数百万台に達することもあります。近年登場した有名なボットネットには、ConfickerZeusWaledacMariposaKelihos などがあります。ボットネットは 1 つの実体としてみなされることが多いのですが、Zeus などのマルウェアの作成者は、代金を支払ってくれるのであれば誰にでもそのマルウェアを販売します。そのため、数十のボットネットで同種のマルウェアが同時に動作するということもあり得ます。

感染の方法
攻撃者が PC を感染させ、ボットネットの一部とする主な方法には、ドライブバイダウンロードとメールの 2 種類があります。ドライブバイダウンロードによる感染では、攻撃者はいくつかの手順を踏む必要があります。まず人気のある Web サイトから悪用できそうなぜい弱性を見つけ出します。そして自分の作成した悪意あるコードをそのサイトにロードし、そのコードを操作して Google Chrome や Internet Explorer など一般的なブラウザーのぜい弱性を悪用します。そうしたコードは、ユーザーのブラウザーを、攻撃者がコントロールしている他のサイトにリダイレクトするのが一般的です。リダイレクト先のサイトからはボットコードがダウンロードされ、ユーザーの PC にインストールされます。メールによる感染の場合はいたってシンプルです。攻撃者は大量のスパムメールを送りつけ、メールには悪意のあるコードが含まれる Word 文書や PDF を添付します。または、悪意のあるコードがロードされているサイトへのリンクをメールに記載しておく場合もあります。いずれの場合も、攻撃者のコードがいったんユーザーのマシンにダウンロードされると、その PC はボットネットの一部となります。攻撃者はその PC に遠隔から指令を送ったり、そのマシンからデータをアップロードしたり、新しいコンポーネントをダウンロードしたりするなど、望む操作を何でも実行できるようになります。

使用法
伝統的かつ最も一般的なボットネットの使用法は、DDoS 攻撃です。DDoS 攻撃は数百台、数千台の PC の処理能力と帯域幅を利用して、特定の Web サイトに大量のトラフィックを送信し、そのサイトをダウンさせます。DDoS 攻撃にはさまざまな種類がありますが、目的はただ 1 つ、標的のサイトを停止させることです。攻撃者らは競争相手のサイトをダウンさせるためにこの手法を使っていましたが、その後 Yahoo や MSN などの Web ポータル、ショッピングやバンキングサイト、政府のサイトなどに標的を移しはじめました。Anonymous、LulzSec などのグループは近年、DDoS 攻撃を使用して軍需企業、銀行などの組織を攻撃しています。一方、サイバー犯罪者は DDoS 攻撃でバンキングサイトを攻撃し、銀行へのさらなる攻撃を隠す手段としています。またボットネットはその他にも多数の方法で利用されています。スパマーはボットネットを使って大量のごみメールを送信し、サイバー犯罪者は大規模なクレジットカード詐欺にボットネットを利用しています。

対策
ボットネットが使用される DDoS 攻撃に対する防御の方法は多数ありますが、ほとんどは ISP またはサーバーレベルで行われるものです。ボットネットの一部になってしまうことを防ぐためにユーザーができることは、マシン上のすべてのソフトウェアにパッチを適用して最新の状態に保ち、怪しいリンクをクリックしないことです。攻撃者はユーザーのだまされやすい性質を利用して、悪意のある添付ファイルを開けさせたり疑わしいリンクをクリックさせたりして、新たな PC にマルウェアを潜り込ませようとするのです。ユーザーがだまされないように注意していれば、攻撃者がボットネットを作成して使用するのははるかに困難になるでしょう。