ボット‐ネット【bot net】
ボットネット
ボットネットとは、悪意のある攻撃者によって構築され、インターネット経由の命令によって遠隔操作をされてしまっているコンピュータ群のことである。
ボットネットという名称は「ロボット(robot)」のボットに由来している。ボットネットは、パソコンを悪用することを目的に作られたプログラム(ボット)と、ボットに感染したパソコン(ゾンビパソコン)により構成され、1台のパソコンから数百~数千台のゾンビパソコンへ指令を出し、他人のコンピュータを攻撃する。
ボットネットで言われる「ボット」というのはウイルスの一種にあたり、一度感染してしまうと、悪意のある攻撃者に自由に操作されてしまう。このため、利用者は、知らぬ間にスパムメールやDDoS攻撃などの「加害者」になってしまう恐れがある。
ボットネットを操る攻撃者がボットに命令を出す際には、IRC(Internet Relay Chat)を使う場合が多い。このため、ボットを「IRC Bot」と呼ぶ場合もある。ただし、「IRC Bot」という固有名詞が付けられたボットも存在する(例えば、シマンテックが命名した「Backdoor.IRC.Bot.B」など)ため、IRCを使っていなくてもボットと呼ばれることもある。
なお、代表的なボットには、SdbotやAgobot(Gaobot)、Spybotなどがあり、インターネット上でプログラムのソースコードが公開されているものもあるため、亜種も数多く出回っている。
ボットネット
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2026/03/27 13:52 UTC 版)
|
この記事は英語版の対応するページを翻訳することにより充実させることができます。(2024年12月)
翻訳前に重要な指示を読むには右にある[表示]をクリックしてください。
|
ボットネット(英: Botnet)とは、一般にサイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のゾンビコンピュータで構成されるネットワークのことを指す[1]。 サイバー犯罪者の支配下に入ったコンピュータは、使用者本人の知らないところで犯罪者の片棒を担ぐ加害者(踏み台など)になりうる危険性がある[2]。ボットネットにおいて、指令者(ボットハーダーまたはボットマスターもしくは単にハーダーという)を特定することは、ボットネットの性質上非常に困難である。そのため、近年では組織化された犯罪者集団がボットネットを構築し、多額の金銭を得ている[3]。
動作原理
もともと「ボットネット」は「IRCボットが接続された状態」を指していたように、今日のボットネットにおいてもIRCが使われている。 ボットネットの文脈において、IRCサーバが「C&Cサーバ(Command and Control server)」と呼ばれることがある。
ボットネットのノードは感染するとダイナミックDNSや応答の速いドメイン登録業者のサービスを使って登録されたドメイン名を使って、IRCサーバに接続する。 IRCに接続したノードはそのIRCの然るべきチャンネルに参加し、自分の存在をチャンネルの参加者に伝え、命令を待つ一種のIRCボットとなる。命令はユーザとして参加している指令者のIRCの発言として為され、命令を受け取ったノードはその命令を実行する。IRCサーバもまたコンピュータウイルスに感染したコンピュータによって構成されていることが多く、ひとつのIRCサーバが止められてもボットネット全体が止まることは無く、指令者の接続元を突き止めるのは困難になっている。このように、ノードの生成/消滅にかかわらず接続性を保証するためにDomain Name Systemに依存しているため、対応にはドメインの提供者の協力が必要になる。
類似の事例として、通信手段に2ちゃんねる等の掲示板を使った例もあった。ある一定の規則でスレッドを立て、そのスレッドにエンコードされた書き込みを行うと、そのスレッドを監視している感染ノードが対象のスレッドを荒すと言うものである。[4] (Sufiage.C) など[5]。また、Twitterやインスタントメッセンジャーや他のピア・ツー・ピアファイル共有プロトコルを通信手段に使った例も存在する。
攻撃の種類
ボットネットは多様な攻撃や不正行為に利用される。欧州連合サイバーセキュリティ機関(ENISA)の2025年脅威報告書によれば、ボットネットを利用したDDoS攻撃がインシデント全体の77%を占め、最も頻度の高い攻撃手法となっている[6]。
DDoS攻撃
分散型サービス妨害(DDoS)攻撃は、ボットネットの最も代表的な用途である[6]。ボットマスターは配下の多数のゾンビコンピュータに対し、標的のサーバやネットワークへ一斉にリクエストを送信するよう指令を出し、サービスの提供を妨害する[7]。2007年にはエストニアの政府機関や民間ウェブサイトに対するDDoS攻撃にボットネットが使用され、国際的な注目を集めた[8]。
スパムメール
ボットネットは大量のスパムメールの送信基盤として広く利用されている[9]。世界各地に分散した感染端末から送信されるため、特定の地域に偏らず、ブラックリストによるフィルタリングを回避しやすい。送信元ホストのDNS逆引きが未設定であるか、DSLやCATV回線と思われる機械的な命名規則のFQDNである場合が多い[10]。2000年に発覚したEarthlink Spammerボットネットは、1年間で125万通以上の不正メールを送信した最初の著名な事例とされている[9]。
認証情報の窃取
ENISAの2020年ボットネット脅威報告書は、ボットネットの活動の多くが利用者の認証情報(IDやパスワード)の窃取に関連していると報告している[11]。ボットネットに組み込まれたキーロガーや情報窃取型マルウェア(インフォスティーラー)が感染端末上で動作し、オンラインバンキングや電子メールなどの認証情報を収集して指令者に送信する[7]。Emotetは当初バンキングトロイの木馬として2014年に確認されたが、後にボットネット基盤へと進化し、窃取した認証情報や感染端末へのアクセスを他の犯罪者に販売するMaaSモデルを運用した[12]。また、別のサイトから流出した認証情報を使い大量のログインを自動試行するクレデンシャルスタッフィング攻撃にもボットネットが利用されている[7]。
ランサムウェアの配布
ボットネットはランサムウェアの配布手段としても機能する。EmotetボットネットはTrickBot経由でRyukランサムウェアを配布していたことが確認されている[12]。ENISA 2025年報告書ではランサムウェアを「EU域内で最も破壊的かつ経済的被害の大きい脅威」と位置づけており、その拡散にボットネットが利用されている[6]。
暗号資産の不正マイニング
感染端末の計算資源を利用して暗号通貨をマイニングする手法は「クリプトジャッキング」と呼ばれ、ボットネットの収益化手段として増加している[13]。2023年に発見されたNoaBotは、Miraiの亜種をベースにSSH経由で拡散し、感染端末にMoneroマイニング用のXMRigを設置するボットネットであり、849以上の攻撃元IPが世界各地で確認された[14]。
クリック詐欺
ボットネットを利用し、成功報酬型広告に対して偽のクリックを自動生成することで、広告主から不正に収益を得る手口がある[7][9]。分散した多数の一意なIPアドレスからアクセスが行われるため、不正検知が困難になる。
違法サイトの構築
ボットネットの感染端末をリバースプロキシとして利用し、フィッシングサイトや違法な商品販売サイトを構築する手口もある。複数の感染ノードをDNSラウンドロビンで切り替えることで、特定のサーバが停止されても即座に別のノードに切り替わる。この手法はファスト・フラックスと呼ばれる[15]。
アドウェア・スパイウェア
分散した多数の感染端末にアドウェアを配置し、広告を強制表示させたり広告サイトにアクセスさせることで、不正な広告収入を得る用途がある。また、スパイウェアをインストールすることで、利用者の行動やブラウジング履歴などの情報を収集する[10][7]。
ボットネット・アズ・ア・サービス
近年、ボットネットの構築・運用者(ボットマスター)が、自らのボットネットを第三者に貸し出す「ボットネット・アズ・ア・サービス」(Botnet-as-a-Service)と呼ばれるビジネスモデルが確認されている[9]。利用者は料金を支払うことで、DDoS攻撃の代行やスパム送信、マルウェア配布などのサービスを購入できる[7]。
関連項目
脚注
- ^ 脅威とは:FAQ Kaspersky Labs
- ^ サイバークリーンセンター ボット ウイルスとは
- ^ ボットネットの概要 PDF形式
- ^ 命令を受けて2ちゃんねるへの攻撃を行なうボット「Trojan.Sufiage.C」
- ^ “遠隔操作ウイルス”、その表の顔の1つは「痴漢君(Chikan.exe)」
- ^ a b c ENISA Threat Landscape 2025 (PDF) (Report). ENISA. 2025. 2026年3月27日閲覧.
- ^ a b c d e f “What Is a Bot or Botnet Service?”. Akamai. 2026年3月27日閲覧。
- ^ Legal Implications of Countering Botnets (PDF) (Report). NATO CCDCOE. 2012. 2026年3月27日閲覧.
- ^ a b c d Georgoulias, Dimitrios; Pedersen, Jens Myrup; Falch, Morten; Vasilomanolakis, Emmanouil (2023). “Botnet Business Models, Takedown Attempts, and the Darkweb Market: A Survey”. ACM Computing Surveys 55 (11): Article 219. doi:10.1145/3575808.
- ^ a b “ボットネットの概要” (PDF). JPCERTコーディネーションセンター (2006年). 2026年3月27日閲覧。
- ^ ENISA Threat Landscape 2020 - Botnet (Report). ENISA. 2020. 2026年3月27日閲覧.
- ^ a b “Emotet Malware”. CISA. CISA. 2026年3月27日閲覧。
- ^ Kundu, Krishanu (2025). “Blockchain Security: Botnets and Bitcoin Mining - A Study on the Impacts and Countermeasures”. Recent Advances in Electrical & Electronic Engineering 18 (2). doi:10.2174/0123520965301502240827114505.
- ^ Kupchik, Stiv (2024年1月9日). “You Had Me at Hi — Mirai-Based NoaBot Makes an Appearance”. Akamai Security Research. 2026年3月27日閲覧。
- ^ “JPCERT/CC WEEKLY REPORT 2008-10-22”. JPCERT/CC. 2026年3月27日閲覧。
外部リンク
- 「ボットネット」とは何ですか} - NTT技術ジャーナル
- Know your Enemy: Tracking Botnet - ウェイバックマシン(2005年3月16日アーカイブ分) (本稿の主な出典)
- サイバークリーンセンター - ウェイバックマシン(2015年3月16日アーカイブ分) 総務省・経済産業省によるbot駆除を支援する連携プロジェクト
- ボットネット対策 - 警視庁
|
|
|
|---|---|
| 伝染性マルウェア | |
| 潜伏手法 | |
| 収益型マルウェア | |
| OS別マルウェア | |
| マルウェアからの保護 |
|
| マルウェアへの対策 |
|
 カテゴリ |
|
| 典拠管理データベース: 国立図書館 |
|---|
ボットネット
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「ボットネット」の解説
ボットネットとはC&Cサーバのコントロール下にあるマシン(ボット)のネットワークで、攻撃者はC&Cサーバから命令を出す事で、ボットネットを様々なサイバー攻撃に利用する。ボットによる攻撃にあった被害者は、裏にいるC&Cサーバの情報を直接得る事ができないので、攻撃者を特定するのは困難になる。 攻撃者は1台のC&Cサーバから命令を出すことで多数のボットから同時多発的に攻撃をしかける事ができるので、低い運用コストでDDoS、スキャン、二次感染といった様々なサイバー攻撃の実行が可能になる。 C&Cサーバとボットとの通信には、IRC、HTTP、各種P2P接続などが利用される。特にHTTPはセキュリティに配慮した企業などであっても業務の関係上通信を遮断できないので、攻撃者は企業内のマシンをボット化できる。 ボットネットのネットワーク構造として最も単純なものは、1つのC&Cサーバに全てのボットがぶら下がっているスター型のネットワーク・トポロジーであるが、これだとその1台のC&Cサーバがダウンしたり当局に取り締まられたりするとボットネットが完全に停止してしまう。そこで様々な国に複数のC&Cサーバを立てて多重化する事で各国の取り締りにそなえたり、ボットの下にさらにボットをぶら下げる階層型の構造にしてボットネットの全体像を把握されにくくしたり、P2P通信によるランダムなトポロジーにする事でネットワーク耐性を上げたりする。
※この「ボットネット」の解説は、「サイバーセキュリティ」の解説の一部です。
「ボットネット」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- ボット・ネットのページへのリンク
