ボット‐ネット【bot net】
ボットネット
ボットネットとは、悪意のある攻撃者によって構築され、インターネット経由の命令によって遠隔操作をされてしまっているコンピュータ群のことである。
ボットネットという名称は「ロボット(robot)」のボットに由来している。ボットネットは、パソコンを悪用することを目的に作られたプログラム(ボット)と、ボットに感染したパソコン(ゾンビパソコン)により構成され、1台のパソコンから数百~数千台のゾンビパソコンへ指令を出し、他人のコンピュータを攻撃する。
ボットネットで言われる「ボット」というのはウイルスの一種にあたり、一度感染してしまうと、悪意のある攻撃者に自由に操作されてしまう。このため、利用者は、知らぬ間にスパムメールやDDoS攻撃などの「加害者」になってしまう恐れがある。
ボットネットを操る攻撃者がボットに命令を出す際には、IRC(Internet Relay Chat)を使う場合が多い。このため、ボットを「IRC Bot」と呼ぶ場合もある。ただし、「IRC Bot」という固有名詞が付けられたボットも存在する(例えば、シマンテックが命名した「Backdoor.IRC.Bot.B」など)ため、IRCを使っていなくてもボットと呼ばれることもある。
なお、代表的なボットには、SdbotやAgobot(Gaobot)、Spybotなどがあり、インターネット上でプログラムのソースコードが公開されているものもあるため、亜種も数多く出回っている。
ボットネット
 | この記事は英語版の対応するページを翻訳することにより充実させることができます。(2024年12月) 翻訳前に重要な指示を読むには右にある[表示]をクリックしてください。
|
ボットネット(英: Botnet)とは、一般にサイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のゾンビコンピュータで構成されるネットワークのことを指す[1]。 サイバー犯罪者の支配下に入ったコンピュータは、使用者本人の知らないところで犯罪者の片棒を担ぐ加害者(踏み台など)になりうる危険性がある[2]。ボットネットにおいて、指令者(ボットハーダーまたはボットマスターもしくは単にハーダーという)を特定することは、ボットネットの性質上非常に困難である。そのため、近年では組織化された犯罪者集団がボットネットを構築し、多額の金銭を得ている[3]。
動作原理
もともと「ボットネット」は「IRCボットが接続された状態」を指していたように、今日のボットネットにおいてもIRCが使われている。 ボットネットの文脈において、IRCサーバが「C&Cサーバ(Command and Control server)」と呼ばれることがある。
ボットネットのノードは感染するとダイナミックDNSや応答の速いドメイン登録業者のサービスを使って登録されたドメイン名を使って、IRCサーバに接続する。 IRCに接続したノードはそのIRCの然るべきチャンネルに参加し、自分の存在をチャンネルの参加者に伝え、命令を待つ一種のIRCボットとなる。命令はユーザとして参加している指令者のIRCの発言として為され、命令を受け取ったノードはその命令を実行する。IRCサーバもまたコンピュータウイルスに感染したコンピュータによって構成されていることが多く、ひとつのIRCサーバが止められてもボットネット全体が止まることは無く、指令者の接続元を突き止めるのは困難になっている。このように、ノードの生成/消滅にかかわらず接続性を保証するためにDomain Name Systemに依存しているため、対応にはドメインの提供者の協力が必要になる。
類似の事例として、通信手段に2ちゃんねる等の掲示板を使った例もあった。ある一定の規則でスレッドを立て、そのスレッドにエンコードされた書き込みを行うと、そのスレッドを監視している感染ノードが対象のスレッドを荒すと言うものである。[4] (Sufiage.C) など[5]。また、Twitterやインスタントメッセンジャーや他のピア・ツー・ピアファイル共有プロトコルを通信手段に使った例も存在する。
攻撃の種類
- DDoS(分散型サービス妨害)攻撃:ボットネットは、数多くのゾンビコンピュータを操ることができる。DDoS(分散型サービス妨害)攻撃においては、一斉に標的に向けてサービス妨害攻撃を行うように操る。
- アドウェア:分散した一意なホストを多く得ることができるため、これを成功報酬型広告にアクセスさせれば収入を怪しまれずに受け取ることができる。
- スパイウェア:ユーザの振る舞いに関する情報を受け取る。
- スパムメール:近年[いつ?]、スパムメールに対する意識が高まり、ブラックリストが普及したことや、送信などへの法的な罰則が強化されたため、身元を明かさずにメールを送信する需要が出てきた。世界中に広く感染させることが可能なボットネットを通してメールを送信することによって、フィルタリングを抜けやすく、かつ発信元の足取りを掴みにくくすることができる。この様な方法で送られて来るメールの特徴としては、同種の内容を持ったメールについて、送信ホストが地域的な偏りが無く、デジタル加入者線や、ケーブルテレビやダイアルアップのネットワークと思われるようなDNSの逆引きがついていなかったり、ついていても機械的な命名規則でネットワークの特徴が含まれているようなFQDNになっていることが多いことが挙げられる。
- クリック詐欺:ユーザにクリックさせて広告料を騙し取る。
- 違法サイトの構築:スパムメールによって宣伝しても宣伝先に足がつくと摘発される可能性がある。そのため、ボットネットによるサイト構築も行われている。多くはHTTPのリクエストを本当のコンテンツを持っているサイトに中継するリバースプロキシサーバと見られる。これによってフィッシングサイトや、勃起不全治療薬等の販売、住宅金融や出会い系サイトを構築している例が存在する。一つの手口では、ボットネットの幾つかのノードをDNSラウンドロビンさせて生存状況によって適宜入れ換えられるようになっている。この手法はFast Fluxと呼ばれる。[1]
関連項目
脚注
外部リンク
- 「ボットネット」とは何ですか} - NTT技術ジャーナル
- Know your Enemy: Tracking Botnet - ウェイバックマシン(2005年3月16日アーカイブ分) (本稿の主な出典)
- サイバークリーンセンター - ウェイバックマシン(2015年3月16日アーカイブ分) 総務省・経済産業省によるbot駆除を支援する連携プロジェクト
- ボットネット対策 - 警視庁
| 伝染性マルウェア | |
|---|---|
| 潜伏手法 | |
| 収益型マルウェア | |
| OS別マルウェア | |
| マルウェアからの保護 |
|
| マルウェアへの対策 |
|
 カテゴリ | |
- BotNetのページへのリンク
