ボットネット

ボットネットとは


「ボット」とはロボットに由来する言葉で、一般にはいくつかのタスクを自動実行するソフトウェアを指しますが、ボットネットでいう「ボット」は、感染したコンピュータをインターネット経由の命令により不正に操作する、悪意のあるプログラム(マルウェア)の一種です。ボットに感染すると攻撃者から遠隔で命令を受け、知らないうちに情報の漏えい、迷惑メールの送信やDDoS攻撃への加担、フィッシングサイトの構築、他のコンピュータやネットワークへの不正侵入のための踏み台にされるなどの害をこうむることになります。

ボットに感染したコンピュータは「ゾンビコンピュータ」と呼ばれ、ボットは多数の端末に感染することにより、ゾンビコンピュータ群から成るネットワーク「ボットネット」を構築します。ボットネットを構築した攻撃者は、指令サーバ(C&Cサーバ)から遠隔で大量(数百台~数万台)のパソコンやスマホを一括管理して操作することが可能です。さらには同時に特定のネットワークやサーバへアクセスを集中させることにより、特定のサービスをダウンさせるなどのDDoS攻撃を仕掛けることも可能になります。ボットネットはアプリケーションやOSの脆弱性を狙って感染を拡大させます。

例えば、メッセージングアプリで拡張子を偽装(一見すると文書や画像ファイルと見せかける)した添付ファイルを開いたり、改ざんされたWEBサイトを閲覧したりすることで自動的にインストールプログラムが実行される手口が多く見られます。ボットは多種多様で、感染しても気がつかないことも多く、知らないうちに被害を増大させてしまいます。また、ターゲットとなるコンピュータには個人の端末だけでなく、企業のサーバなども含まれます。企業サーバがボットに感染した場合、IDやパスワードが盗まれ会社の機密データが悪用される可能性もあります。

有名なボットネットとされるのが、「Avalanche」です。これは感染端末のいずれかを攻撃用の指令サーバとして柔軟に利用できるようにする機能を提供し、多数のボットネットに利用されていました。被害は世界180カ国に広がり、損害額も数億ドルに上るという過去最大のオンライン犯罪インフラとなり、4年に及ぶ国際捜査によって、2016年12月にようやく摘発が完了しました。

ボットネットの対策法とは


ボットネットの対策には、アプリケーションやOSを最新の状態にしておき脆弱性を利用した感染を防ぐことが重要です。アップデートを定期的に実行すると、機能面を向上させるだけでなく、セキュリティレベルも高く維持することができます。また感染時に検知できるよう、アンチマルウェア(ウイルス対策)などのセキュリティソフトをインストールし、定義ファイルを最新に保ってウィルス検査を定期的に実行することも大切です。

また、ファイアウォールやIDS/IPSによる不要な通信の制限は、ボットと指令サーバとの通信を遮断するのに一定の効果があります。感染経路のひとつとして、メール添付ファイルに注意する必要があります。メールの件名や文面には添付ファイルを至急開くようにと誘導するものが多いのですが、知らないメールアドレスから送られてきたものは不用意に開かないようにしましょう。さらにお得や無料をうたった文言で感染サイトへ誘導し、自動的にボットネットプログラムをインストールさせる手口も見られるので、少しでも怪しいと思ったサイトは閲覧を控えましょう。