セキュリティの頻出用語 : ボットネットとは?

セキュリティ用語
2015.6.8
更新日：2018.3.9

セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くこともよくあります。そんな方に、セキュリティの頻出用語を解説します。今回は、知らず知らずに自分のPCやサーバーが不正な攻撃に関与しているかもしれない「ボットネット」についてです。

この数年の間に、ボットネットはサイバーセキュリティの専門家だけでなく、企業や一般のユーザーにとっても最大の脅威の一つとなりました。

ボットとは、元々、別のコンピューターに接続して命令を実行する単純なスクリプトやコマンドの集合、あるいはプログラムという意味です。ボットそのものには、有害で悪質なものという意味はありませんでしたが、最近は、マルウェアの一種として説明されることがほとんどです。

ボットは、コンピューターに侵入し、攻撃者は、乗っ取りに成功します。企業や個人、政府機関だけでなく、軍事関係のコンピューターにも侵入しています。攻撃者は、乗っ取りに成功したコンピューター群に対して、指令をボット攻撃サーバーから発信して、攻撃をします。これらのコンピューター群をボットネットといいます。乗っ取られ、密かに組み込まれたプログラムによって遠隔操作が可能な状態になっているPCのことを「ゾンビPC」と呼ぶことがあります。

ボットネットは、1台から、数十万台のコンピュータで構成される大規模なものまで存在します。

ボットは巧妙に入り込むことから、所有者にとって、気づかないうちに自分のPCが感染していることがよくあります。そのため、自分で意図しなくても、攻撃に荷担してしまっている場合も多くあります。

変化するボットネット

これまでにボットネットは、さまざまな変化を遂げています。よい意味ではありませんが、ある種の成長をしてきている状況です。

当初のボットとボットネットは、IRC（Internet Relay Chat）をプロトコルをよく利用していました。IRCは、簡単に説明すれば、チャットをするためにプロトコルです。15年ほど前までは、コンピューターエンジニアの中で、一般的に使用されていました。今でも、一部のエンジニアや開発者の間ではまだ利用されています。

IRC の機能を利用してホストのスクリーンショットを取得したり、ボットのダウンロードやアップグレードを実行します。

P2Pボット

IRC を利用したボットネットの弱点は、 IRC サーバーです。サーバーが閉鎖されると、攻撃者は、ボットネットを制御できなくなります。そこで、登場してきたのが、ファイル交換などでよく利用されるP2Pプロトコルを使用した新しいボットネットです。

P2P のメリットは、なんといっても、処理を分散できること、そして、障害に強いことです。IRC 制御のボットネットよりも閉鎖が難しくなります。

P2P ボットネットの中で最も巧妙なボットネットの1つは Storm Worm/Nuwarです。このボットネットは、分散した P2P アーキテクチャを利用し、しばらくの間猛威を振るいました。

HTTP ボット

他にも、IRCではなく Web サイト（HTTP）を使用するボットネットの数が増え始めました。サイバー犯罪者やマルウェアの作成者にとっては、より一般的に利用されているプロトコルを使い始めたということになります。

HTTP への移行は「エクスプロイトキット」の出現がきっかけです。これらのキットは、遠隔のコンピューターにソフトウェアをインストールして、遠隔の Web サイトからコンピュータを制御します。サイバー犯罪者はさまざまなリンクを含むスパムやインスタントメッセージを送信します。これらのリンクをクリックすると、エクスプロイトキットを含む Web サイトに移動します。

このサイトでは、エクスプロイトキットがユーザーの所在地、使用OS/ブラウザやアプリｰションのバージョンを確認し、使用するエクスプロイトを判断します。これらの作業はユーザーに気付かれずに実行されます。攻撃に成功すると、感染先のコンピューターを遠隔から制御するために複数のマルウェアをインストールします。