ボットネットは、ハッカーが大規模な攻撃を実行する能力を拡大、自動化、高速化する目的で構築されます。
1人の人間や小規模なサイバー犯罪者がローカルデバイスで実行できることは限られています。しかし、わずかな費用と時間を投資するだけで、大量のマシンを追加で入手して、より効率的な運用に活用することが可能になります。
ボットハーダーは、ハイジャックされたデバイスの集合体をリモートコマンドで統率します。ボットをコンパイルすると、ハーダーはコマンドプログラミングを使用して次の動作を実行します。コマンドの実行者は、ボットネットを立ち上げた人物の場合もあれば、レンタルで運用している人物の場合もあります。
ゾンビコンピューター(またはボット)とは、ボットネットの構築に使用するために乗っ取られた各ユーザーデバイスを指します。これらのデバイスは、ボットハーダーが設計したコマンドに無条件に従って動作します。
ボットネット構築の基本的的な工程を、いくつかの単純なステップに分解すると次の通りです:
第1段階における攻撃は、サイバー犯罪者が脆弱性を見つけた時点で開始されます。サイバー犯罪者は、標的のWebサイト、アプリケーション、行動パターンにおける弱点を調べます。その目的は、ユーザーが知らないうちにマルウェア攻撃を受けてしまうような行動を取らせることです。よく見られるのは、サイバー犯罪者がソフトウェアやWebサイトのセキュリティ問題を悪用したり、メールやその他のオンラインメッセージを通じてマルウェアを配信したりするケースです。
第2段階ではユーザーが感染します。ユーザーがデバイスを危険にさらすような行動を起こした時点で、ボットネットのマルウェアに感染します。これらの手法の多くは、ソーシャルエンジニアリングによってユーザーを誘導し、専用のトロイの木馬をユーザーにダウンロードさせるという方法です。または、より攻撃的な方法を使用して、感染したサイトへアクセスさせてドライブバイダウンロード攻撃の標的とすることもあります。配信方法がどんなものであれ、サイバー犯罪者が複数ユーザーのセキュリティを侵害するという結果になります。
サイバー犯罪者の準備が完了すると、第3段階が開始されます。コンピューターが犯罪者の管理下に置かれます。攻撃者は感染したすべてのマシンを組織化し、リモートで管理可能な「ボット」のネットワークを構築します。多くの場合、サイバー犯罪者が感染させ、制御しようとするコンピューターの台数は、数千台や数万台、時には数百万台にも及びます。サイバー犯罪者は、大規模な「ゾンビネットワーク」、つまり組織化が完了したボットネットの活動を統率することができるようになります。
これだけでは「ボットネットが何をするか?」という疑問への十分な答えになっていないかもしれません。感染してしまうと、管理者レベルが必要である次のような動作がゾンビコンピューターで実行可能になります:
インターネット接続にアクセスできるデバイスであれば何でも、ボットネット構築の候補となり得ます。
今日使用されている多くの機器には、何らかのコンピューターが内蔵されています。その中には、ユーザーがその存在に気づかないものもあります。コンピューターベースのインターネットデバイスのほぼすべてに、ボットネットに悪用される脆弱性があります。つまり、脅威は絶えず増加の一途をたどっているのです。自分自身を守るために、ボットネットに乗っ取られる代表的なデバイスに注意してください:
Windows OSやmacOSで動作するデスクトップやノートPCのような従来のコンピューターは、長きにわたってボットネット構築の格好の標的となってきました。
モバイルデバイスもまた、より多くの人々が使用するようになるにつれて、新たな標的となっています。過去のボットネット攻撃でも、スマホやタブレットが標的とされた事例が目立ちます。
インターネット接続を可能とし、サポートするために使用するインターネットインフラのハードウェアも、ボットネット攻撃の標的となる可能性があります。ネットワークルーターやWebサーバーが標的になることは周知の事実です。
モノのインターネット(IoT)デバイスとは、インターネット経由で相互にデータを共有するあらゆる接続デバイスを指します。コンピューターやモバイル機器の他にも、たとえば次のようなものがあります:
これらのデバイスはすべて、大規模なボットネットの構築に悪用される可能性があります。デバイスの技術市場は、低価格かつ低セキュリティのデバイスであふれ返っています。このようなデバイスは、ユーザーにとって深刻な脆弱性をもたらします。ウイルスやマルウェアへの対策を講じていなければ、デバイスはボットハーダーの餌食となって気づかないうちに感染してしまうことでしょう。
コマンドの送信は、ボットネットの制御に不可欠な要素です。しかも、送信者が誰であるかわからないように、匿名性も両立させる必要もあります。そのため、ボットネットはリモートプログラミングによって操作されます。
コマンド&コントロール(C&C)は、すべてのボットネットの指示や命令の発信元となるサーバーです。ボットハーダーのメインサーバーであり、各ゾンビコンピューターはこのサーバーからコマンドを受信します。
各ボットネットに直接、または間接的にコマンドを送信して命令可能なモデルは次の通りです:
中央集権型モデルは、1台のボットハーダーサーバーによって運用されます。このモデルの変種は、サブハーダーまたは「プロキシ」の役割を果たすサーバーの追加が可能です。階層が中央集権型であれプロキシ型であれ、ボットハーダーからのすべてのコマンドは配下のコンピューターへと伝搬されます。いずれの構造も、ボットハーダーが発見される可能性があるため、これらの古い方法は理想的とは言えません。
分散型モデルは、すべてのゾンビコンピューターが指示を担当する構造です。ボットハーダーからいずれかのゾンビコンピューターへの連絡が可能である限り、ゾンビコンピューター同士でのコマンドの送受信が可能となります。ピアツーピア(P2P)の構造を使用すると、ボットハーダーの特定がさらに困難になります。旧来の中央集権型モデルより明らかに優れているため、最近はP2Pがより多く採用される傾向にあります。
ボットネットの作成者は常に何か見返りを求めています。金銭の場合もあれば、個人的な満足の場合もあります。
ボットネットを構築する動機のほとんどは、他のサイバー犯罪と同様です。多くの場合、価値あるものを盗むか、他人に迷惑をかけることが目的となっています。
場合によっては、サイバー犯罪者はゾンビマシンの大規模なネットワークへのアクセスを開設し、販売することもあります。買い手は通常、別のサイバー犯罪者であり、レンタルまたは完全な所有権に対する対価を支払います。たとえば、スパムメールの送信者が、大規模なスパムメール活動を実行に移す際に、こうしたネットワークをレンタルしたり、購入したりします。
サイバー犯罪者を大きく利する可能性があると知っていながら、単に作成できるからという理由だけでボットネットを作成する人もいます。動機が何であれ、ボットネットの使い道は結局のところ、ボットネットに支配されたユーザーとその他の人々の両方に対するあらゆる攻撃に他なりません。
ボットネットはそれ自体が攻撃となることもある一方で、二次的な詐欺やサイバー犯罪を大規模に実行するための理想的なツールでもあります。よくあるボットネットの手口は次の通りです:
分散型サービス拒否(DDoS)は、Webトラフィックでサーバーに過負荷をかけ、クラッシュさせる攻撃です。ゾンビコンピューターの集団によりWebサイトやその他のオンラインサービスに大量の通信を行うことで、それらのサービスを一定期間停止させます。
フィッシングは、信頼できる人物や組織になりすまし、貴重な情報を騙し取る手口です。典型的な方法として、スパムを大規模に拡散し、銀行のログイン情報やメールの認証情報などのユーザーアカウント情報を窃取します。
ブルートフォース攻撃は、WebアカウントのIDやパスワードを総当たりして認証を突破することを目的としたプログラムにより実行されます。辞書攻撃やクレデンシャルスタッフィングは、脆弱なユーザーパスワードを悪用してデータにアクセスするために使用します。
自分自身や他人の安全を脅かす脅威を考慮すると、ボットネットのマルウェアからの自衛は緊急の課題といえます。
幸い、デバイスをソフトウェアで保護したり、使用する際の習慣を少し変えたりするだけで、自分の身を守ることができます。
ボットネットは、一度ユーザーのデバイスに根付いてしまうと、その活動を停止することが困難です。悪意のある乗っ取り行為を前述の方法で防ぎましょう。これにより、乗っ取られた後のフィッシング攻撃やその他の攻撃の被害から各デバイスを保護することができます。
関連記事: