ボットネットとは？定義、その仕組みと防御

ボットネットとは、マルウェアに感染させたり、悪意のあるアクションを実行したりするために使用される、ハッカーの支配下にあるコンピューターやデバイスのネットワークのことです。

ボットネット という用語は、「ロボット」と「ネットワーク」という言葉に由来します。 ボット は、マルウェアに感染させたり、人間のユーザーを装って扇動的な情報を流したり、データを盗んだりするのに使用される自動化されたコンピュータープログラムのことです。悪質なボットはハッカーによってプログラムされています。

ボットネットは、インターネットに接続された複数のデバイスを使用して、他のデバイスに侵入し、詐欺やサイバー攻撃を大規模に実行します。ボットネット攻撃にはいくつかの異なる種類があり、それらは絶えず進化を続けています。

ボットネットは、インターネットに接続されたさまざまなデバイスを制御することができます。ユーザーレベルでのサイバーセキュリティの強化は、ボットネット攻撃の防止に役立ちます。

ボットネットとは？

ボットネットとは、マルウェアに感染し、「ボットハーダー」と呼ばれる単一パーティーの制御下にあるコンピューター、IoT（モノのインターネット）デバイス、スマートフォン、インターネットに接続されたあらゆるデバイスの集合体を指します。ボットハーダーは、ボットネットを悪意のある目的に利用し、１つのボットでは不可能な大規模なサイバー攻撃を実行できます。

ただし、ボットは必ずしも悪者というわけではありません。ボットは自動化されたコンピュータープログラムで、人間のユーザーのように振る舞い、検索を効果的にスピードアップし、カスタマーサービスを支援し、トラフィックを必要な場所に誘導することができます。一方、悪質なボットは、マルウェアを含んでおり、ハッカーによって制御され、サイバー攻撃などを実行するようにプログラムされています。

ボットネットは一般的にネガティブなもので、複数の悪質なボットを使って他のデバイスを感染させ、大規模な攻撃を仕掛けます。ボットハーダーは、１つのコマンドを支配下にあるすべてのボットに一斉送信することで、連携した一斉攻撃を行うことができます。サイバー犯罪者は、ボットネットを闇市場に貸し出し、多額の利益を得ることがよくあります。

ボットネットの仕組み

ボットネットは、ハッカーがサイバー攻撃を仕掛ける範囲、領域、スピードを徐々に拡大していくよう設計されています。ボットネットは、ボットハーダーが操作し、更新することで、成長・進化していきます。ボットネットは、 ゾンビコンピューターとも呼ばれる感染したデバイスを使用します。ゾンビコンピューターは、ユーザーの知らないうちに無分別に動作し、ボットハーダーの制御下でコマンドを実行します。

ボットネットは通常、3つの段階で構築されます。

1. 第1段階：脆弱性を見つけて悪用する。 ハッカーは、ソフトウェア、アプリケーション、Webサイトの問題点を見つけたり、人為的なミスを通して、デバイス内の脆弱性を探します。オンラインメッセージや電子メールを利用して、ユーザーをマルウェア感染させようとすることもあります。
2. 第2段階：マルウェア感染を展開する。 マルウェアは、電子メールの添付ファイルに埋め込まれたトロイの木馬ウイルスやクリックベイトポップアップなど、さまざまな方法で配信されます。ソーシャルエンジニアリングの手法は、ハッカーがユーザーを説得し、無意識のうちにマルウェアをデバイスにダウンロードさせるためによく使用されます。感染したサイトにアクセスすると、同じようにマルウェアを感染させるドライブバイダウンロード攻撃を仕掛けます。
3. 第3段階：デバイスを起動し、攻撃を開始する。 この段階では、さまざまな感染したマシンやボットが、ボットハーダーが遠隔操作できるネットワークに編成されます。その後、ゾンビコンピュータは、より大規模なゾンビネットワークで使用され、攻撃を実行します。

ボットネットがアクティブになると、ボットネットは、ボットハーダーに管理者レベルのアクセス権を付与し、以下のようなアクションを実行できるようになります。

• ユーザーの個人データを収集する。
• ユーザーの行動を監視する。
• システムデータの読み取りと書き込みを実行する。
• アプリケーションをインストールし、実行する
• データやファイルを送信する。
• 他のデバイス内の脆弱性を検索する。

ボットネットが制御可能なものとは？

ボットネットは、インターネットに接続されている、またはインターネット接続にアクセスできる、あらゆるデバイスに影響を与える可能性があります。これには以下のデバイスが含まれます。

• コンピュータのデスクトップやノートパソコン
• スマートフォンやタブレットなどのモバイルデバイス
• ウェアラブルデバイス（スマートウォッチ、フィットネストラッカー）、スマートホームデバイス（テレビ、セキュリティカメラ、温度計、スピーカー、スマートプラグ）、車載インフォテインメント（IVI）などモノのインターネット（IoT）
• デバイスウェブサーバーやネットワークルーターなどのインターネットインフラハードウェア 

ボットハーダーは、一度に数千台から数百万台のデバイス（ゾンビコンピュータ）を集め、大規模なサイバー攻撃を目的とした巨大ボットネットを構築することができます。

ボットネットの制御方法

ボットネットは、コマンド＆コントロール（C&C）を使用して、ボットハーダーによって遠隔操作されます。これは、集中型、クライアントサーバー型、またはピアツーピア（P2P）型による分散型のいずれかのモデルで実行されます。従来、ボットネットは、 クライアントサーバー型を使用して、インターネットリレーチャット（IRC）ネットワーク、Webサイト、ドメインを通じて動作していました。この型では、プログラムがリクエストを送信し、応答が返ってくるのを待ちます。感染したデバイスは、あらかじめ決められた場所にアクセスし、ボットハーダーがサーバーにコマンドを送信するのを待ち、それがボットに中継されます。コマンドは実行され、結果がボットハーダーに報告されます。

すべてのコマンドは、ボットに配信される前に中央サーバーに送信されます。この一元管理の手法は、ボットハーダーの脆弱性を露呈させる可能性があります。

ボットハーダーは、現在、ボットネットの制御にP2P型を一般的に使用しています。これは、身元を秘密に保つために分散型手法を使用する深刻なインターネットセキュリティの脅威です。各ゾンビコンピュータに直接組み込まれた実行指示内容は、ボットハーダーが感染したデバイスの1つに連絡するだけでコマンドを送信できます。これらのコマンドは、デバイス間で分散され、集中管理方式の単一障害点の問題を回避します。

ボットはまた、IPアドレスを調べ、他のゾンビコンピュータにつながることで、他の感染デバイスを探すこともできます。このように、ボットネットは、既知のボットをすべて見つけ出し、更新し、通信することによって、ボットネットそのものを成長させることができます。

ボットネットの使用目的とは？

ボットネットは、通常、個人的または金銭的な利益のために悪意のある目的で作成されます。ボットネットを作成するサイバー犯罪者は、通常、何かを盗むか、何らかの大混乱を引き起こしたいと考えています。ボットネットは以下のような目的で使用されます。

• サービスの妨害： Webサイトをクラッシュさせ、サービスをオフラインにします。
• 情報の窃盗： アカウントにアクセスしたり、システムやネットワークに不正アクセスしたりするために、頻繁にスパイウェアを使用して、個人情報、機密情報、またはセンシティブな情報を盗みます。
• 金銭窃盗： 金銭を直接盗んだり、恐喝したりします。
• 電子的詐欺： 様々な悪意のある目的のために個人のコンピューターやデバイスを制御します。
• 暗号通貨詐欺： ユーザーの処理能力を使って暗号通貨を採掘します。
• 他の犯罪者へのレンタルや販売： ボットネットは、ダークウェブや闇市場で他のサイバー犯罪者に貸し出されたり、そのまま販売されたりするのが一般的です。

ボットネット攻撃の種類

ボットにはユーザーのデバイスに感染するマルウェアが含まれているため、ボットネット自体がすでに攻撃です。ボットネットは、感染した１台のデバイスよりも、さらに大規模な攻撃を実行するための集合体として使用されます。

一般的なボットネット攻撃として、以下のタイプがあります。

• DDoS攻撃：  ボットネット攻撃の最も一般的なタイプの１つで、ゾンビコンピューターを使用してWebサイトやオンラインサービスに過負荷をかけ、Webトラフィックをオーバーロード状態にして、サイトをクラッシュさせたり、サービスを一定期間使えないようにしようとします。標的となるサーバーやネットワークは、ボットネットからのリクエストに圧倒され、正規のユーザーがアクセスできなくなります。

これは、金銭的、個人的、または政治的な理由で行われることがあります。多くの場合、ハッカーは攻撃を止めるために報酬を強要します。 DDoS攻撃 は、リソースを制限し、顧客の不満を助長し、収益に影響を与える可能性があります。解決は困難です。

• メールスパムとフィッシング： スパムボットネットは非常に大規模で、毎日何十億ものスパムメッセージを送信することができます。これらのスパムメッセージには、ボットネットの増加、追加のマルウェアの配信、あるいは他の電子詐欺を目的としたマルウェアが含まれていることがよくあります。
• 広告詐欺とクリック詐欺：  クリック詐欺は、ユーザーのコンピューターが同意や認識なしにWebサイトを訪問し、偽のWebトラフィックを作成するものです。広告詐欺により、インフルエンサーはさらに人気を集め、オンラインパブリッシャーは広告主からの手数料を増やすことができます。
• 総当たり攻撃と標的型侵入： ボットネットの使用は、膨大な量の試行によるクレデンシャルスタッフィングやリスト型攻撃の成功率を高めることができます。標的型攻撃は、特定の貴重な資産を標的とするネットワークにさらに侵入することができます。
• 金融情報侵害： 金融ボットネットは、クレジットカード情報や組織から直接金銭を盗むことを目的としています。

ボットネット攻撃を防ぐためのベストプラクティス

ボットがボットネットの一部としてシステムに侵入すると、その根絶は困難になります。ハッカーは、マルウェアの一部を取り除くだけでなく、ボットの動作方法を継続的に更新・変更できるため、一度侵入したボットをシステムから追い出すことが難しくなります。

ボットネットに対する最善の防御策として、次が挙げられます。

• すべてのデバイスにウイルス対策ソフトウェアを使用します。インターネットセキュリティスイートは、トロイの木馬ウイルスやその他のマルウェアからユーザーを守ります。
• スマートなパスワードを使用し、それを保護し、多要素認証（MFAとは？）を採用します。複雑で強力な長いパスワードは推測が難しくなります。頻繁に変更し、複数のプラットフォームで使用しないようにします。生体認証などの追加認証を使えば、デバイスをさらに保護できます。
• インターネットに接続できるデバイスのプライバシーとセキュリティのオプションをすべて確認し、更新します。多くのデバイスには製造元のデフォルトのパスワードが組み込まれており、これらを更新し、カスタムされたログイン認証情報を使用する必要があります。
• 購入前にデバイスのセキュリティ機能を調べておきます。多くの場合、値段相応のものが搭載されており、安価なデバイスはセキュリティ機能が弱い可能性があります。
• メールの添付ファイルをダウンロードしないようにします。メールの添付ファイルにはマルウェアが含まれていることがよくあります。信頼できる送信元からのメールであることを常に確認するようにしましょう。どうしても添付ファイルを開かなければならない場合は、開く前にウイルス対策ソフトでスキャンするとさらに良いでしょう。
• メッセージ内のリンクをクリックしないようにします。ソーシャルメディア、メール、そしてテキストメッセージまでも、ボットマルウェアを配布する可能性があります。その代わりに、リンクをアドレスバーに手動で入力するか、そのリンクの公式バージョンを検索します。

重要なポイント

ボットネットは、ハッカーが複数のデバイスを一度に制御するために使う悪意のあるツールです。ボットは自動化されたマルウェアの一部であり、インターネットに接続するあらゆるデバイスに感染することができます。複数のボットは、一人のハッカー（ボットハーダー）の下でネットワークとして制御することができます。ボットネットは、より迅速にマルウェアを拡散し、大規模なサイバー攻撃を行うことができます。

ボットネットはテクノロジーとともに進化し続けるでしょう。サイバー犯罪者を阻止する方法が実装されるにつれ、攻撃者もさらに狡猾になり、セキュリティ対策を回避する新しい方法を見つけるでしょう。ボットネット攻撃から身を守るには、オンラインデバイスやインターネット接続デバイスについて警戒を怠らないことです。

参考文献

What Is a Bot? Understanding the Good and the Bad（2021年4月、 Spectrum News 1.

The Client/Server Model（2021年、The IBM Corporation）

Modeling and Analysis of Peer-to-Peer Botnets（2012年7月、 Discrete Dynamics in Nature and Society）

Botnet-Based Distributed Denial of Service (DDoS) Attacks on Web Servers: Classification and Art（2012年8月、 International Journal of Computer Applications）