Written by 夏野ゆきか
目 次
ボットネットとは、外部からの遠隔操作を可能にしてしまう「ボット」というマルウェア(悪意のあるソフトウェア)に感染した複数のコンピュータで、構成されたネットワークのことです。
ボットネットは多いと百万単位から構成され、単独犯に比べ大規模なサイバー攻撃を可能にしてしまうという危険性をはらんでいます。さらにボットに感染しても直接的な影響をPCの所有者が受けることは稀で、ユーザーが感染に気づきづらいといった特性もあります。
知らない間にDDoS攻撃などのサイバー攻撃に加担させられているケースも報告されているため、企業・組織が加害者にならないためにも、強固なセキュリティ対策を行う必要があります。
▼この記事を要約すると
- ボットネットとは、ボットというマルウェアに感染したコンピュータで構成されたネットワークのこと
- ボットに感染すると、機密情報の漏洩やサイトの改ざんなどが行われ、被害者になる可能性もあるが、ボットネットの一部としてサイバー攻撃に加担するなど加害者になるリスクもある
- ボットネットを悪用したサイバー攻撃には、「DDoS攻撃」「迷惑メール・スパムメールの大量送信」「クレデンシャルスタッフィング攻撃(アカウント乗っ取り)」
- ボットの主な感染経路としては、「OSやアプリケーションの脆弱性を突いて感染させる」「メールの添付ファイルやリンク経由で感染させる」「改ざんされたWebサイトの訪問によって感染させる」などがある
- ボットネットの一部にならないためには、そもそもボットに感染しないことが重要なので「OS・ソフトウェアは常に最新の状態にする」「アンチウイルスソフトを導入する」「EDRを導入する」「不審なメールの添付ファイルやWebサイトは開かない」といった対策が有効
ボットネットとは?
ボットネットとは、「ボット(BOT)」というマルウェア(悪意のあるソフトウェア)に感染した、複数のコンピュータで構成されるネットワークのことです。
攻撃者はボットネットを形成することで、大規模なサイバー攻撃の踏み台に利用します。実際に攻撃に悪用されるケースもあれば、攻撃を仕掛けるための情報収集等に用いられる場合もあります。
ボットネットについて説明する前に、まずは「ボット」というマルウェアについて、お伝えします。
ボットとは?
ボットは「ボットウイルス」とも呼ばれており、トロイの木馬やワームなどと同じマルウェアの一種です。ユーザーのPCがボットウイルスに感染すると、そのPCは攻撃者によって自由に遠隔操作されてしまいます。
これにより
- ・アカウントを乗っ取られ、大量の迷惑メールを送信させられる
- ・WEBサイトのサーバー攻撃へ加担させられる(DDoS攻撃)
- ・フィッシング詐欺に悪用される
- ・マルウェア配布など、さらなるボットネットの拡大に悪用される
など、知らず知らずのうちにサイバー攻撃へ加担させられるリスクがあります。
また感染した端末内で秘密裏に活動し、組織の機密情報や顧客データといった、価値ある情報を盗み見る・不正入手される危険性も考えられるでしょう。
米国のサイバーセキュリティ企業「Imperva(インパーバ)」の調査によると、2022年はインターネットトラフィック全体の47.4%がボットによるものであり、そのうち悪質なボットはトラフィック全体の30.2%を占めています。
出典:Imperva|2023 Imperva Bad Bot Report
複数のボットで形成されるネットワーク「ボットネット」
ボットネットは、攻撃者によってボットウイルスに感染させられ、遠隔操作が可能となった複数のデバイスによって構成される、ネットワークを指します。
数万から多い場合には数百万単位のデバイスで構成される場合もあり、攻撃者はボットネットを活用することで、単独では難しい大規模なサイバー攻撃を仕掛けることが可能となります。
▼ ボットネットを形成しサイバー攻撃を仕掛けるイメージ
出典:総務省-国民のための情報セキュリティサイト|ボットとは?
端末がボットに感染し、ボットネットの一部になってしまった場合、「知らぬ間に意図せずサイバー攻撃へ加担させられる」という危険性をはらんでいます。遠隔操作により、大量のPCからサーバーへ一斉アクセスする「DDoS攻撃」、「不正なスパムメールの送信」などが、これに該当します。
個人はもちろん企業・組織は、常日頃からボットをはじめとするマルウェア感染に、十分な対策を行うことが重要です。
ボットネットおよびボットの危険性
悪質なボットおよびボットネットには、以下のような危険性があります。
- ● 感染していても気付きにくい
- ● アップデート機能を備えたものがある
- ● ボット数が増えることで、より大規模なサイバー攻撃が可能になる
まずボット感染しても目に見える症状がなく、バックグラウンドで動作するため、ユーザーのPC操作を妨げることが基本ありません。「著しくPCのパフォーマンスが低下する」「異常なソフトウェアがインストールされる」といった症状が表れない限り、ユーザーがボットへの感染に気付くことは困難と言えます。
またボットの中には手動・自動でアップデートする機能が備わっており、更新することで新たな攻撃を仕掛けたり、攻撃力が強化したりといるメリットがあります。
さらにボットネットは数万~数百万といったボットを束ねて構成されるため、少数で大規模な攻撃を仕掛け、オンラインサービスのダウンやビジネスの停止といった被害をもたらすことができます。過去には数十万の端末を遠隔操作したDDoS攻撃により、米国でいくつもの著名サービスが停止に追い込まれた、という被害も発生しました。
ボットネットの仕組み
ここでは、ボットネットが構成される仕組みを確認していきましょう。攻撃者は以下のような順でボットネットを構成します。
- 1. ターゲットのデバイスにボットを侵入させる
- 2. ボットに感染するとC&Cサーバーに接続され、外部からコントロールが可能になる
- 3. C&Cサーバーから命令をだし、感染したコンピュータを操作する
まずボットネットを構成するためには、ボットに感染した端末が必要になります。攻撃者は以下のような方法で、ターゲットの端末にボットを侵入させます。
- ・不正なWebサイトを閲覧させる
- ・添付ファイルにボットを仕掛けたメールを送りつけ、開封させる
- ・有益なソフトウェアになりすましダウンロードさせる
ボットに感染した端末は自動的にC&C(コントロール&コマンド)サーバーと呼ばれる、ボットネットをコントロールする指令サーバーへと接続します。所有者は気づかない間にデバイスをボットネットに組み込まれ、外部からの遠隔操作を可能にされてしまうのです。
攻撃者はボット感染させたPCにC&Cサーバーを通して、情報を盗んだり、不正なアクションを行うよう指示出しをしたりします。
ボットネットを悪用したサイバー攻撃の例
ボットネットを悪用したサイバー攻撃の例として、以下のようなものがあります。
- 1. DDoS攻撃
- 2. 迷惑メール・スパムメールの大量送信
- 3. クレデンシャルスタッフィング攻撃(アカウント乗っ取り)
それぞれのサイバー攻撃について解説します。
1. DDoS攻撃
ボットネットを悪用した典型的なサイバー攻撃が、「DDoS攻撃」です。
DDoS攻撃とは、攻撃対象のWebサーバーに複数のコンピュータから大量のパケットを一斉送信し、サーバーに負荷をかけ、Webサービスを停止に追い込むサイバー攻撃です。
攻撃者はC&Cサーバーを通じ各端末に命令することで、ボットに感染したPC群に、一斉にパケットを送信させることが可能です。
DDoS攻撃を受けることで、オンラインサービスやWEBサイトを運用する企業は、以下のようなダメージを受けるリスクがあります。
- ・オンラインサービスが停止する
- ・営業活動ができず金銭損失が発生する
- ・サービスへアクセスできないため、顧客からの信頼低下を招く
- ・復旧への工数や費用が発生する
2. 迷惑メール・スパムメールの大量送信
ボットに感染すると、攻撃者にメールアカウントを操作され、不特定多数に迷惑・スパムメールを送信させられる場合もあります。
攻撃者はボットネットを操ることで、一度に大量のメールを効率よく送ることが可能です。また送信者の特定が困難となるため、犯罪がバレづらいといった利点もあります。
アドレス帳の情報を攻撃者に盗み取られた場合、迷惑・スパムメールの送信先に悪用されるだけでなく、そのアドレス情報がさらなるサイバー攻撃に悪用されるリスクもあるでしょう。
3. クレデンシャルスタッフィング攻撃(アカウント乗っ取り)
「クレデンシャルスタッフィング攻撃」とは、不正に入手したアカウント情報を使って、複数のサイトやアプリケーションに、ボットを用いて不正アクセスを行うサイバー攻撃です。「複数のサービスでIDやパスワードを使いまわす」という、ユーザーの習慣を悪用しています。
クレデンシャルスタッフィング攻撃と似た攻撃として「パスワードリスト攻撃」があります。パスワードリスト攻撃も同様、不正入手した「ID・パスワード」を用いて、サービスやシステムに不正アクセスを図るサイバー攻撃です。
両者の違いは、クレデンシャルスタッフィング攻撃では「ボットネット」を活用し、複数端末から自動で不正ログインを試みるという点にあります。
またこのほかにも「ボットネットを活用してマルウェアを配布させる」「フィッシング詐欺への誘導をおこなう」など、ボットネットを用いたサイバー攻撃は後を絶ちません。
以下で紹介する「感染経路」や「対策」も参考にしながら、ボット感染への対応強化が必要です。
ボットの感染経路
ボットの感染経路は主に以下の3つです。
- 1. OSやアプリケーションの脆弱性を突いて感染させる
- 2. メールの添付ファイルやリンク経由で感染させる
- 3. 改ざんされたWebサイトの訪問によって感染させる
ボットもマルウェアの1種であるため、感染経路は主にその他のマルウェアと同様です。
ここからは、ボットの感染経路について詳しく解説します。
1. OSやアプリケーションの脆弱性を突いて感染させる
OSやアプリケーションに脆弱性(セキュリティ上の欠陥)が残ったまま放置していると、それを悪用して不正アクセスを行います。
不正にシステムに侵入し、端末にボットを送り込むことで感染してしまいます。
2. メールの添付ファイルやリンク経由で感染させる
メールやSMSの悪用は、ボット感染で主流の手口です。
攻撃者は、取引先や知人などを装ってターゲットにメールを送りつけます。添付ファイルはボットウイルスが仕込まれており、受取手が添付ファイルを開封することで感染してしまう手口です。
もしくはメール・SMSの本文にリンクを記載し、クリックした受信者を不正なサイトに誘導してボットに感染させるというケースもあります。昨今では「ドライブバイダウンロード」という、サイトを見るだけでマルウェアに感染してしまう、といった脅威も存在します。
3. 無料のソフトウェアやアプリに含まれる
オンライン上で一般向けに公開される、フリーソフトや無料アプリケーションにボットが含まれており、ダウンロードすることでPCが感染するケースもあります。
ダウンロード後、ボットがすぐに不審な動作を見せることは少なく、感染しても長きにわたり気づかない可能性があります。
提供元が信頼できる場合を除き、安易にソフトウェアをダウンロードすることは危険です。
ボットネットの被害事例
過去にはボットネットの形成により、大規模なサイバー攻撃被害を引き起こした事例がありました。
ボットネットを用いた、被害事例を2つ紹介します。
1. 38万台のIoT機器がボットに感染、大規模なDDoS攻撃を引き起こした事例
2016年9月20日、「Mirai」というボットに感染した大量のIoT機器を操作し、アメリカのセキュリティ情報サイトに大規模なDDoS攻撃が仕掛けられる事件が発生しました。
数十万台規模の機器が一斉にWebサイトへアクセスしたことから、そのサイトはサーバーがダウン。一時的にアクセスできなくなる事態を招きました。
またこの大規模なDDoS攻撃はDNSサーバー(ドメイン名とIPアドレスを紐付け、変換するサーバー)に対しても行われ、TwitterやPinterest、PayPalといった著名なサービスが、一次利用できなくなるといった被害を及ぼしました。
2. ネットバンキングを狙うボット悪用、総額2億5,000万円への不正引き出し事例
2017年10月、インターネットバンキングに不正アクセスし、他人の口座から約2億5,000万円を引き出した疑いで31歳の男性が逮捕される事件がありました。
攻撃者は「ドリームボット」というボットを悪用し、2016年11月から2017年6月にかけて24都道府県42の金融機関を襲撃したとのことです。
ドリームボットとは、主にインターネットバンキングを標的とするボットで、金融機関を偽装したフィッシングメールを送信し、第三者の端末を感染させるケースが一般的です。攻撃者はユーザーからインターネットバンキングのID・パスワードを不正に取得し、アカウントを乗っ取ることで不正送金を行います。
この事件の犯人は、日本初のドリームボットを利用した犯罪の逮捕者になりました。
ボットネットの一部にならないための対策
ボットネットの一部にならないためには、マルウェアへの感染対策が重要です。
多くのサイバー攻撃は「マルウェアの感染」に起因しているため、ボットネットへの対策はあらゆるサイバー攻撃のリスクを軽減することに繋がります。
マルウェア感染に有効な対策は、以下の通りです。
- 1. OS・ソフトウェアは常に最新の状態にする
- 2. 不審なメールの添付ファイルやWebサイトは開かない
- 3. アンチウイルスソフトを導入する
- 4. EDRを導入する
1. OS・ソフトウェアは常に最新の状態にする
ボットネットの一部にならないため、OS・ソフトウェアは常に最新の状態を保ちます。先ほど説明したように、攻撃者はOSやアプリケーションの脆弱性を突いて、ボットを感染させます。
OS・ソフトウェアは定期的にアップデートをし、脆弱性パッチの適用などに漏れがない状態にしましょう。
2. 不審なメールの添付ファイルやWebサイトは開かない
メールやSMSを用いたマルウェア感染は非常に主流な手口です。
不審なメールの添付ファイルや、メール内に記載されたWebサイトへのURLは、安易に開かないよう心がけましょう。
よく使うWebサイトへのアクセスは、メールからではなくアドレスを自分で入力する・ブックマークして訪れるといった方法が安全です。
3. アンチウイルスソフトを導入する
強力なアンチウイルスを導入することで、端末に侵入しようとするボットを検知し、感染を未然に防ぐことができます。
先述のとおりボットは変異しながら検知を逃れようとするため、従来のパターンマッチング式のアンチウイルスでは、検知が短しい場合もあります。ボット対策であればシグネチャ型に頼らず、パターンファイル化されていない「未知のマルウェア」も検出できるアンチウイルスがおすすめです。
LANSCOPE サイバープロテクションでは、AIを活用したアンチウイルスを提供しており、あらゆるボットの検知・ブロックが可能です。
4. EDRを導入する
エンドポイントでの動作や通信を監視し、異常なプログラムを検出する「EDR」の導入もおすすめです。「侵入後のマルウェア検知や駆除が行える」という特性上、潜伏期間が長く見つけづらい「ボットウイルス」と、非常に相性の良いソリューションです。
PCやサーバーといった「エンドポイント」は、アンチウイルスとEDRを同時に運用することで、更に確実なマルウェア駆除を実現きます。
LANSCOPEサイバープロテクションでは、アンチウイルスとセットで導入できる、操作の簡単なEDR「CylanceOPTICS」を提供しています。
ボットネット対策ならLANSCOPEサイバープロテクションにお任せ
ご利用中の端末がボットネットの一部として悪用されないためには、そもそもボットに感染しない環境構築が重要となります。
「LANSCOPE サイバープロテクション」では、ボットをはじめとした凶悪なマルウェアを速やかに検知・ブロックする、2種類のAIアンチウイルスを提供しています。
▼2種類のアンチウイルスソリューション
- 1. アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用できる「CylanceMDR」
- 2. 各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct」
1. アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な「CylanceMDR」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できます。 EDRとは、PCやスマートフォンに侵入した後のマルウェアに対し、事後検知や駆除を行えるセキュリティソリューションです。
しかし実際「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていないケースも少なくありません。
- ・ アンチウイルスとEDRを併用したい
- ・ なるべく安価に両機能を導入したい
- ・ しかし運用面に不安がある
そういった方におすすめしたいのが、アンチウイルスを中心に3つのサービスを提供する「 Cylanceシリーズ」です。
- 1. 最新のアンチウイルス「CylancePROTECT(サイランスプロテクト)」
- 2. EDR「CylanceOPTICS(オプティクス)」
- 3. EDRを用いた運用監視サービス「CylanceMDR」
の3つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。
2. 各種ファイル・端末に対策できるNGAV「 Deep Instinct(ディープインスティンクト)」
- ・ PC、スマートフォンなどOSを問わず、対策をしたい
- ・ 「実行ファイル以外の様々なファイル」に対処できる 製品が良い
- ・ 手頃な価格で「高性能なアンチウイルス」を導入したい
そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」がおすすめです。
近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。
昨今、猛威を振った「Emotet(エモテット)」というマルウェア、ランサムウェア攻撃なども、 Deep Instinctで検知することが可能です。
また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。手ごろな価格帯で導入できるのも魅力です、ぜひ以下の製品ページよりご覧ください。
マルウェア感染や不正アクセスを受けたかも……事後対応なら「インシデント対応パッケージ」
- 「PCがマルウェアに感染してしまったかも」
- 「システムへ不正アクセスされた痕跡がある」
このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。
「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。
まとめ
本記事では「ボットネットとはなにか」をテーマに、仕組みやその危険性・対策について解説しました。
▼本記事のまとめ
- ボットネットとは、ボットというマルウェアに感染したコンピュータで構成されたネットワークのこと
- ボットに感染すると、機密情報の漏洩やサイトの改ざんなどが行われ、被害者になる可能性もあるが、ボットネットの一部としてサイバー攻撃に加担するなど加害者になるリスクもある
- ボットネットを悪用したサイバー攻撃には、「DDoS攻撃」「迷惑メール・スパムメールの大量送信」「クレデンシャルスタッフィング攻撃(アカウント乗っ取り)」がある
- ボットの主な感染経路としては、「OSやアプリケーションの脆弱性を突いて感染させる」「メールの添付ファイルやリンク経由で感染させる」「改ざんされたWebサイトの訪問によって感染させる」などがある
- ボット感染対策として「OS・ソフトウェアの定期アップデート」「優秀なアンチウイルスソフト・EDRを導入する」といった対策が有効
ボットネットは、自分が感染しているという自覚がなく、サイバー攻撃に加担してしまうリスクを備えた脅威です。加害者にならないためにも、日頃から不審なメールやWEBサイトの閲覧には気を付け、アンチウイルスによる定期スキャンなども行っていきましょう。
おすすめ記事
