「普段は目立った活動はしないが、外部からの指令によって攻撃を開始する端末の一群またはそのシステムの全体を指す。およそ数百~数十万台の規模で構成されている。
ボット攻撃は主に、攻撃者の命令によって、保存されているメールアドレスへの迷惑メールの送信や特定のサイトへの集中アクセスなどの不正な動作を行うものである。その性格上、単一の端末ではなく、多数の端末を結び付けたネットワークが利用される。
ウイルスやワームの場合、感染を広げていくことを想定して、そのプログラムを解析し動作や脅威を予測して対策を行う。しかしボットネットは、プログラムよりも攻撃者による人為的な操作を食い止めなければならないため、非常に対策が立てにくい。また、プログラムの更新も簡単に行えることが、検出を困難にさせている。
ネットワークは、IRCやP2P、Webなどさまざまな仕組みが利用されているが、これら制御の中心となるサーバーのことを「C&C(=コマンド・アンド・コントロール)サーバー」と呼んでいる。
最もシンプルなボットネットではC&Cサーバーは単一であるが、複数のC&Cサーバーを連携させて複雑なネットワ―クを組んでいる場合もある。この場合、攻撃者が特定されにくくなるとともに、攻撃がより確実になる。
複数のC&Cサーバーを使ったボットネット
ボットネットの機能は、以下のように多岐にわたる。
- 攻撃(DDoS、踏み台、スパムメール)
- 感染(脆弱性、ネット共有、脆弱なアカウント、バックドア)
- 情報の窃取(アカウント収集、脆弱なサーバーの収集、メール、プロダクトキー)
- 自己防衛(難読化、ウイルス対策ソフトへの対策、デバッガ・仮想環境対策)
- 制御(認証・暗号化、IRC、独自チャネル)
- メンテナンス(ソースの流通、BOTジェネレータ、バージョンアップ機能)
ボットネットの存在は、国内では、2004年7月に大量のスパムメールが送信された事件が発生して注目され始めた。このボットネットはスパム攻撃だけでなく、DDoS攻撃や感染機能などを有していた。
ほかに、よく知られているボットネットとしては「SIMDA」(シムダ)がある。2015年4月にインターポール(国際刑事警察機構)によって閉鎖されたが、それまでは約77万台のパソコンが組み込まれ、さまざまな攻撃が行われていた。
ボットネット対策
パーソナルファイアウォールの機能によって、ボットネットのC&Cサーバーとの通信を検知、ブロックすることが可能である。ほかに、主に以下の3つのフィルタリング機能を用いて防御を行うことができる。
1)主要なボットネットとの通信を検出してブロックする
ボットネットのブラックリスト(IPアドレスなど)を組み込む。
ボットネットのブラックリストの例
- Sirefef
- Peerfrag
- Kelihos
- Morto
- Zeus Gameover
- Pushudo
- Xpaj
- Pony downloader
- さまざまなRATS
2)内部から既知のC&Cサーバーへの通信を検出しブロックする
ボットネットによる通信に特有のプロトコルなどから不正なやりとりを割り出し、通信の遮断や原因となっている不正なプロセスの停止などを行う。
3)エクスプロイト攻撃ツールキットを検出しブロックする
ネットの闇市場で広範囲にわ普及しているツールキットを使って、脆弱性を悪用しようとする挙動をチェックする。
エクスプロイト・ツールキットの例
- SUTRA TDS
- Angler
- Fiesta
- Magnitude
- Styx
- FlashPack
- Infinity
- BlackHole
ボットネットの検出
以上のように、パーソナルファイアウォールによる通信の解析やフィルタリング機能によって不正サーバーへの送信となる不審な通信やアドレスを検知して遮断し、標的型攻撃などを防ぐことができる。
