キーワード

納得! 知っ得! キーワード(2)

ボットネットなんて関係ねぇ! というわけには……


江原顕雄
2007/12/17


 ボットネットの種類

 ボットネットには代表的な種類が3つあります。

・C&C中心型ボットネット

 Bot MasterC&Cサーバ(指令サーバ)に命令を出し、C&Cからボットに命令を伝達させるパターンです。命令系統がシンプルなので、大量のボットに対して素早く命令が出せます。

 このタイプのボットネットでは、C&Cサーバを停止できれば、その配下のボットの活動を止められます。また、ボットからのトラフィックがC&Cサーバに集中するので、ボットの存在を発見したり、ボットの接続先をチェックすることでC&Cサーバを突き止めたりできます。

図3 C&C中心型ボットネット

・PtoP型ボットネット

 C&C型ボットネットの弱点だったC&Cサーバをなくして、ボット同士が同じレベルでネットワークを構築するPtoP(Peer to Peer)型にしたものです。サーバがないため、外部からの攻撃に強くなっているのが特徴です。

 しかし、ボット同士が頻繁に接続するためトラフィック量が増え、通信が検出しやすくなります。また、各ボットに指令が伝わる経路が複雑なので、ボットの動きも緩慢です。ボットの通信先をチェックすることで、全体の規模や潜伏先を突き止められます。

図4 PtoP型ボットネット

・ハイブリッド型ボットネット

 C&C型とPtoP型の長所を取り入れたのがハイブリッド型ボットネットです。C&Cサーバもボット同様にPtoP型ネットワークに組み込まれているのが特徴です。

 ボット同士は限られたボットとしか通信しないため、無駄な通信をしないうえ、ボットネットの一覧データを持ちません。また、C&Cサーバも複数のボットと通信するため、1つのC&Cサーバがダウンしても攻撃が継続されます。

図5 ハイブリッド型ボットネット


 ボットネットの管理者って何者?

 Bot MasterやBot Herderといわれる悪意のある人物は、大まかに2種類に分類できます。

 1つ目は愉快犯的な存在です。このタイプはボットネットが出現した初期に多く見られ、自分の“力”を誇示し名前を売るために、わざと目立ってみたり、話題になることを起こしてみたりして楽しんでいました。

 もう1つは、最近の主流となっているビジネスとしてボットネットを利用する存在です。ボットネットを悪用することで巨額の利益を生み出すことが可能です。

 先に例として挙げたように、スパムメール送信、DDoS攻撃と脅迫行為のほか、ボットを使ったスパイ行為で手に入れたクレジットカード番号やオンラインバンク情報を売買して稼ぐことが可能です。また、ボットネットのレンタルや販売など、ボットネット自体も売買の対象となっています。

 近年では、マフィアなどの犯罪組織がボットネットを使ってインターネット上のブラックビジネスを行っているともいわれています。

【参考リンク】
ボットネットの進化:増え続けるサイバー犯罪関連のビジネス

 ボットの感染ルートとその対策

 ボットがどんどんPCやサーバに感染することでボットネットは拡大します。その方法やルートを知ることは感染対策のヒントになるでしょう。

・メールの添付ファイルを悪用

 メールにボットのインストールプログラムを添付し、ユーザーが誤ってクリックすることを狙った手法です。最近では、「怪しい添付ファイルはクリックしない」「ウイルス対策ソフトで添付ファイルをチェックする」といった対策が浸透しつつあるので成功率は落ちているようです。

・ボットからの攻撃

 ボットに感染したPCからパスワード攻撃や脆弱性を突いた攻撃を仕掛けられるパターンです。ファイアウォールなどのセキュリティ対策製品の導入や適切なパッチ運用を行っていれば侵入の可能性を下げることができます。

 しかし、セキュリティホールを放置したり、ゼロデイ攻撃(修正パッチが存在する前にセキュリティホールが攻撃されること)を受けたりするとボットに侵入されてしまう可能性があります。

 ほかにも、すでに仕掛けられているトロイの木馬などのバックドア(外部からシステムに侵入するための裏口)を利用する手法や、推測されやすいIDとパスワードを設定しているSSH(セキュアシェル)サービスを突く攻撃が盛んです。

・Webページ閲覧による感染

 Webサイトに悪意のあるスクリプトや、Webブラウザの脆弱性を突くようなスクリプトが仕込まれている可能性があります。その結果、ユーザーがWebページを閲覧するだけでボットに感染してしまう事例が増えています。

 最近では「怪しげなサイトにはアクセスしないから大丈夫」とはいかなくなっています。なぜなら、一般的なWebサイトがボットに乗っ取られている場合があり、通常のWebページに悪意のあるスクリプトを埋め込んで感染を拡大させようとしているからです。

 対策としてはウイルス対策ソフトやパーソナルファイアウォールなどの導入、修正パッチの速やかな適用などセキュリティ対策の基本を守ることが挙げられます。

 油断しないことが大切!

 ボットネットについて駆け足で解説をしましたが、いかがでしたでしょうか。

 日本ではあまり話題になっていませんが、アンダーグラウンドの世界ではボットプログラムやソース、もしくはボタン1つでボットを作成できるキットなどが公開されており、ボットの開発やボットネット運用についての情報交換が活発に行われています。例えば、多少のネットワークとプログラミングの知識があれば、小学生でもオリジナルのボットを作りボットネットを構築できます。

 これだけ簡単にボットが作られるので、ウイルス対策ソフトの定義ファイルの作成が追いつかなくて検知できないものも登場しています。このような現状を踏まえて、決して「セキュリティパッチを当てているから」「アンチウイルスソフト導入しているから」といって安心できないことを意識しておきましょう。

 ボットに感染しているかどうか気になる人は、サイバークリーンセンターが提供している「ボットの駆除手順」を参考にしてみてください。感染の有無のチェックだけでなく、万が一、感染していたらどうすればいいのかというアドバイスがまとめられています。ボットに感染していると、知らず知らずに加害者になってしまっているかもしれませんよ。

2/2
 

Index
ボットネットなんて関係ねぇ! というわけには……
  Page1
恐ろしきボットネットの実態
ボットネットはどんな攻撃をしてくるの?
ボットネットができるまで
Page2
ボットネットの種類
ボットネットの管理者って何者?
ボットの感染ルートとその対策
油断しないことが大切!

関連記事
変幻自在なBOTの正体を暴く
なぜBOTは増殖するのか

「Master of IP Network総合インデックス」


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Master of IP Network 記事ランキング

本日 月間
ソリューションFLASH