ボットネット（botnet）とは？
その仕組みと対策

ボットネットは、標的となった被害者に対して、悪質なアクティビティを実行するコンピュータ群や数々のデバイスを指します。「ボットネット」という言葉は「ロボット」と「ネットワーク」からの造語で、ボットネットを使用したサイバー攻撃の性質を表しています。DDoS攻撃により大企業やネットワークインフラを活動不能に陥らせる、最も広く知れ渡っているインターネット障害のいくつかはボットネットが原因でした。

複数のデバイスをコントロールするには、ユーザーを騙してマルウェアをインストールさせなければなりません。攻撃者となりえる人にボットネットを生み出すマルウェアを自由に配布している作成者が存在するため、攻撃者自身が被害を与え機能停止させるソフトウェアを作成する必要はありません。例えば、マルウェアのMiraiはルーター、IPカメラ、家庭用自動化製品のような、Linux版のIoT (Internet of Things) システムを使用します。トラフィックで標的を溢れ返らせることで、攻撃者はLinuxで動作するIoTシステムを遠隔地からコントロールする手段を得ます。ボットネットは広範囲に及ぶ、動作停止の原因となり、インターネット上のデータを１Tビット/秒 で作り出し、米セキュリティ情報サイトKrebs on Security、フランスのウェブホストOVH、標準的なインターネットコミュニケーションの中心的なドメイン名サービス(DNS)プロバイダーであるDynのような企業をターゲットにしています。Miraiは、この種の最初のものと考えられますが、元の作者はすでに捕まっています。Miraiの作成者が捕らえられた後でも、このマルウェアには攻撃者が利用可能な多くの変種（バリアント）、例えばOkiru、Satori、Masuta、PureMasutaなどがあります。

ボットネットのマルウェアは、ユーザーが騙されてローカルデバイスにインストールしてしまうか、脆弱性を悪用して何者かがインストールします。IoTの マルウェアで、攻撃者は何千というデバイスをスキャンし、アップデートされていない、パッチが適用されていないターゲットを探します。自動パッチ適用をしていないデバイスでは、悪用できる状態のままで、攻撃されやすいファームウェアのサービスが動作しているため、ボットネットを構成するマルウェアにとって恰好のターゲットになっています。

十分な数の無防備なデバイスがボットネットのマルウェアに感染した後、攻撃者はトラフィックでターゲットがあふれる、その瞬間を待つだけです。感染した機器のあるネットワークは、攻撃者がハイジャックしたデバイスに向かって命令を送らない限り、休眠しているためゾンビネットワークやゾンビネットと呼ばれます。マルウェアは中枢からの命令を受け取るまで、静かに潜み、検出されません。

攻撃者が感染したデバイスの数を確認でき、ターゲットになっているサーバーへ同時にDos（Denial-of-service）コマンドを送信できるコマンド＆コントロールの中枢にあたるダッシュボードとともに、ボットネットのマルウェアは稼働します。デバイスが中枢であるコマンド＆コントロールサーバーと通信できない場合には、攻撃に利用できなくなります。

攻撃者はリモートデバイスをコントロールできるため、ボットネットはさまざまな攻撃に使用されます。ゾンビネットワークにさらにデバイスを加えていく攻撃者もいますが、それ以外の攻撃者は標的へのDDoSでオンラインサービスを停止へと追い込みます。ボットネットは、重要なプロトコルサービスや百万人ものユーザーが利用する可能性のあるWebアプリケーションをダウンさせる点で、特にインターネットにとって危険です。

よくあるボットネットによる攻撃事例には:

• システムデータの読み込みと書き込み: 攻撃者は、機密データを調べるために、セントラルサーバーへのファイルの送信をデバイスに要求します。機密扱いのシステムファイルには、攻撃者が企業に対するさらなる攻撃の際に悪用するインフラストラクチャーへの変更できない証明書が入っています。
• ユーザーアクティビティの監視: ボットネットのソフトウェアには、追加で使用できる、攻撃とは直接関係のない別のマルウェアが同梱されていることがよくあります。その例を一つ挙げると、ボットネットを構築するマルウェアに、キーロガーが含まれていることは珍しくありません。キーロガーがユーザーのキーストロークを記録し、そこで盗み取った情報を攻撃者のコントロール下にあるサーバーに送信し、銀行のウェブサイトなどのオンラインアカウントへのアクセスを獲得します。
• 攻撃しやすい場所をさらに見つけるためにローカルネットワークをスキャンする: DDoSを仕掛けたい攻撃者は、脆弱性を探すために、できる限り多くのデバイスをスキャンします。ファイアウォールの背後にあるデバイスもあるため、1台のデバイスにマルウェアが一旦インストールされてしまうと、侵食されたデバイスはローカルネットワークのリソースをスキャンします。ファームウェアが更新されていないローカルデバイスがあれば、マルウェアがその隙をつき、脆弱なデバイスはゾンビネットワークに加えられます。
• DDoSを仕掛ける: DDoSは、攻撃者がボットネットを構築した後に起こす一般的な攻撃です。DDoSの効果を発揮するために、攻撃者は何千台ものコンピュータを必要とします。DDOS攻撃を防ぐためにクラウドフレアのようなベンダーは利用可能ですが、世界中で数万ものゾンビボットを扱っている攻撃者が、著しいパフォーマンス効率の低下を招く可能性もあります。
• スパムメール送信: ローカルデバイスからメールアカウントにアクセスできるようになった攻撃者は、標的になる受信者にメールを送信するように命令を出します。メールには追加でコンピュータにマルウェアを広めるための別のマルウェアや、攻撃者がフィッシングキャンペーンに利用するマルウェアが含まれています。

攻撃者がコマンドを送信するまで、マルウェアは感染したデバイス内で休眠しています。DDoSでの攻撃者は、ボットマスターと言われています。そして攻撃者がすべてのデバイスを制御する、デバイスにメッセージを送信する中央サーバーは、コマンド＆コントロールセンターまたはC&Cと呼ばれています。ファイアウォールに構築された各種プロトコルを使用して、マルウェアがC＆Cと通信するのであれば、メッセージはブロックされることはありません。例えば、職場や家庭のネットワークではHTTP通信が珍しくはないので、企業のファイアウォールによって遮断されないため、ボットネットのマルウェアがHTTPを使用して通信することがあり得ます。

ボットネットは効果が高いことから、マルウェアの作成者はDdaaS（サービスとしてのDDoS）を提供することで自身のマルウェアを収益化しています。ボットネットのマルウェアに感染したいくつかのデバイスは同じC＆C中枢に接続され、「C＆Cにログインでき、各自がコマンドを送信できるサブスクリプションのプラン」をマルウェア作成者が販売する仕組みです。

マルウェア作成者は、C＆Cアプリケーションに、自動でシステムを切り替えるフェイルオーバーをコーディングしていることもあります。C＆Cが停止した場合の、有効なフェイルオーバーオプションとして別のC＆Cロケーションが加わります。マルウェアに冗長性を作り出すことで、ホストサービスがアカウントをキャンセルした後でも、攻撃者はすべての感染済みデバイスを失わずに済みます。

別の方法では、どの感染デバイスもC＆Cとして機能する、ピアツーピア(P2P)モデルを使用します。1台のコンピュータがP2Pに失敗すると、その他の各デバイスを利用し、他のデバイスにコマンドを送信します。P2P ボットネットを停止させることはより難しく、感染したデバイスの間での通信手段として好まれています。

感染デバイスにコマンドが送信された後に、攻撃が開始されたり、支配者の指示に従ってアクションが実行されたりします。デバイスが感染していることに気づかないユーザーは、インターネット検索中にネットワークやデバイス上でのパフォーマンスの低下を経験する可能性があります。C＆Cから命令が下されるとパソコンの動作が遅くなります。 ネットワーク上では、突然の速度変化が起こるかもしれません。攻撃が完了すると、パフォーマンスは回復し、マルウェアは休眠状態に戻ります。

ボットネットの感染は主に古くなったファームウェアが関与しているので、ユーザーはネットワーク上で起動するハードウェアを含む、IoTデバイスには常にパッチを当てるべきです。旧来のソフトウェアの脆弱性がサイバー攻撃で悪用されることが一般的なのは、ユーザーがたいてい数ヶ月間パッチを適用しないままデバイスを放置しているからです。ルーター、家庭の自動化用IoT、カメラ、その他のハードウェアはたびたび見逃されており、安全だと思われていることが共通して、ボットネットを構築するマルウェアの標的にされています。

ローカルコンピュータがボットネットのマルウェアに感染していると感じているのであれば、最善の検出方法は、インストールしたマルウェア対策ソフトウェアを使って、コンピュータをスキャンすることです。優れたアンチマルウェアのソフトウェアは、インストールされてしまう前に検出しますが、特定のゼロデイマルウェアは、まだ出回っていないがために検出されずにインストールが完了します。マルウェア対策ソフトウェアが更新されていない場合、新しいマルウェアは検出できません。ボットネット作成者は、コードを変え続け、他のものとはわずかに異なるようにしています。新しいマルウェアがパソコン防御からの検出を逃れるかもしれません。自分の機器装置を守るためには、ベンダーが新しいパッチを配布した時点で、常にマルウェア対策ソフトウェアを更新することが大切です。