Home Page | Skip to Navigation | Skip to Content | Skip to Search | Skip to Footer

ボットネットの脅威 The bot NET THREAT

今日、組織のネットワーク・セキュリティにとって最も懸念すべき脅威の1つとなっているボットネット。サイバー犯罪者が乗っ取った数千台から100万台超のコンピュータが構成するボットネットは、APT(Advanced Persistent Threats)と呼ばれる標的型攻撃など、さまざまな不正活動を行うために使用されています。

ボットネットとは、ボットという不正ソフトウェアに感染した多数のコンピュータが構成するネットワークです。ボットは、指令(C&C)サーバと呼ばれる制御システムとネットワーク通信を行い、さまざまな命令を受け取ります。ボットとC&Cサーバ間の通信には、IRC(Internet Relay Chat)やHTTP、ICMP、DNS、SMTP、SSLなど幅広い通信プロトコルが使用されますが、ボット作者が開発した独自のプロトコルで通信する場合もあります。C&Cサーバの管理下に置かれたボットネットは、ボット・ハーダーと呼ぶ管理者がコントロールし、別のコンピュータに感染してボットネットを拡大する、スパム・メールを大量送信する、DDoS攻撃を仕掛ける、感染先のコンピュータから個人情報や金融情報、機密データを盗み出すなどのさまざまな活動を行います。

C&Cサーバ ボット・ハーダー ボット感染ホスト スパム ウイルス DDoS 盗み出したデータ インターネット上のコンピュータ

ボットネットの処理能力は非常に強力で、例えば巨大ボットネット「Rustock」は、2011年3月にアメリカ司法当局とMicrosoftの共同作戦でC&Cサーバが押収されるまで、1日あたり140億通ものスパム・メールを送信していました。

ボットネット: ステルス型のオンライン脅威 ある調査によると、昨年、ボットに乗っ取られたコンピュータの数は600%以上増加しているにもかかわらず、インターネット犯罪に対する訴えの数は10%減少しています。この調査結果は、コンピュータ・ユーザの知識やスキルが向上しても、サイバー犯罪者の攻撃手法はそれ以上に洗練度を増しているという事実を明らかにしました。
ボットネットの実態
88% 全スパム中、ボットネットが送信しているスパムの割合 50% データ窃盗型ボットネットMariposaの被害に遭ったFortune 1000企業の割合 スパム送信型のボットネットは世界中で約500万も存在しています。2010年、ボットに感染したコンピュータは、1分あたり平均77通のスパム・メールを送信していました。1分あたり200通以上送信していたボットも存在します。
ボットネットの仕組み
サイバー犯罪者は、ボットという不正ソフトウェアを用いて他人のコンピュータをコントロールします。ボット・ハーダーとも呼ぶこれらの犯罪者は、指令(C&C)サーバを介して感染先のコンピュータを遠隔操作し、違法な活動を行います。
ボット・ハーダー C&Cサーバ
ボットネットの活動
スパム・メールの送信 ウイルスの拡散 コンピュータやサーバの攻撃 不正ソフトウェアの配布 銀行の口座情報の窃盗、金融詐欺
最も悪質なボットネット
大小さまざまな規模のボットネットがあります。
1日あたりのスパム・メールの送信数でランク付けしたボットネットのトップ6を次に示します。 138億 Rustok 83億 Bagle 42億 Festi 22億 Cutwail 20億 Lethic 16億 Grum 興味深いボットネット: Zeusベースのボットネット Zeusは、最も入手の容易なDIY(Do It Yourself)型のボットネット構築キットです。Zeusで構築されたボットネットは、銀行の口座情報の窃盗やバックドアを利用した新機能の追加、長期にわたる産業システムへの侵入など、幅広い犯罪行為に使われています。
ボット感染の予防対策
次に示す常識的な対策を講じるだけで、ボットの感染からコンピュータを守ることができます。
企業および一般消費者のための6つのヒント 1 アンチスパイウェア/アンチウイルス・ソフトウェアを使用する。2 ソフトウェアを常に最新のバージョンに維持する。 3 ファイアウォールを使用する。 4 簡単に破られないパスワードを使用する。 5 安易に添付ファイルを開いたり、電子メールやソーシャル・ネットワーキング・サイトのリンクをクリックしない。 6 企業では、ファイアウォールや侵入防御、アンチマルウェア、アンチボットなどを組み合わせた多層防御のアプローチでボット対策を行う。
出典: CHECKPOINT.COM、NEWS.CNET.COM、MSNBC.MSN.COM、NORMAN.COM、MICROSOFT.COM、NETWORKWORLD.COM、THE REGISTER

史上初のボットは、1980年代後半に開発された「GMBot」です。GMBotは、不正な活動を意図したものではなく、人間の行動をIRC(Internet Relay Chat)セッションでエミュレートすることを目的としていました。不正な意図を持つボットが現れたのは1999年頃のことです。この時期に登場したSub7とPretty Parkは、指令チャネルとしてIRCを使用していました。

これ以降、ボットは徐々に洗練されて、商品として販売されるタイプも登場します。2006年に出現したZeusボットは当初、数千ドルという価格で販売されていました。また、ボットネットの指令チャネルには、IRCの代わりにHTTPやICMP、SSLなどのプロトコルが使用される場合も増えてきました。

1999 Sub7 Pretty Park 2000 GTBot 2001 Kaiten 2002 SDBot Agobot 2003 Sinit Spybot Rbot SQLSlammer 2004 Polybot Bagle Bobax 2005 Mytob 2006 Rustock Zeus 2007 Storm Cutwail Srizbi 2008 Kraken Lethic Mega-D Conficker TDL Mariposa Artro 2009 Waledac Grum BredoLab 2010 TDL3 TDL4 2011 SpyEye 1StreetTroup BitcoinMiner CheapZeus

2011年の半ばには、強力なボットネット構築キットであるZeusとSpyEyeのソースコードが流出。事実上、誰でもこれらのキットを入手して独自のボットネットを作成できる状況となっています。