ボットネットとは、外部からの遠隔操作を可能にしてしまう「ボット」というマルウェア（悪意のあるソフトウェア）に感染した複数のコンピュータで、構成されたネットワークのことです。

ボットネットは多いと百万単位から構成され、単独犯に比べ大規模なサイバー攻撃を可能にしてしまうという危険性をはらんでいます。さらにボットに感染しても直接的な影響をPCの所有者が受けることは稀で、ユーザーが感染に気づきづらいといった特性もあります。

知らない間にDDoS攻撃などのサイバー攻撃に加担させられているケースも報告されているため、企業・組織が加害者にならないためにも、強固なセキュリティ対策を行う必要があります。

​​またボットへの感染原因「マルウェア」対策で知っておきたい、５つの手口についてまとめました。是非合わせてご覧ください。​
 

ボットネットとは？

ボットネットとは、「ボット（BOT）」というマルウェア（悪意のあるソフトウェア）に感染した、複数のコンピュータで構成されるネットワークのことです。

攻撃者はボットネットを形成することで、大規模なサイバー攻撃の踏み台に利用します。実際に攻撃に悪用されるケースもあれば、攻撃を仕掛けるための情報収集等に用いられる場合もあります。

ボットネットについて説明する前に、まずは「ボット」というマルウェアについて、お伝えします。

​​ボットとは？​

​ボットは「ボットウイルス」とも呼ばれており、トロイの木馬やワームなどと同じ​マルウェアの一種​です。ユーザーのPCがボットウイルスに感染すると、そのPCは​攻撃者によって自由に遠隔操作​されてしまいます。

これにより

など、知らず知らずのうちにサイバー攻撃へ加担させられるリスクがあります。

また感染した端末内で秘密裏に活動し、組織の機密情報や顧客データといった、価値ある情報を盗み見る・不正入手される危険性も考えられるでしょう。

米国のサイバーセキュリティ企業「Imperva(インパーバ)」の調査によると、2022年はインターネットトラフィック全体の47.4％がボットによるものであり、そのうち悪質なボットはトラフィック全体の30.2％を占めています。

出典：Imperva｜2023 Imperva Bad Bot Report

​​複数のボットで形成されるネットワーク「ボットネット」

​ボットネットは、攻撃者によってボットウイルスに感染させられ、遠隔操作が可能となった複数のデバイスによって構成される、ネットワークを指します。

数万から多い場合には数百万単位のデバイスで構成される場合もあり、攻撃者はボットネットを活用することで、単独では難しい大規模なサイバー攻撃を仕掛けることが可能となります。

▼ ボットネットを形成しサイバー攻撃を仕掛けるイメージ

出典：総務省-国民のための情報セキュリティサイト｜ボットとは？

端末がボットに感染し、ボットネットの一部になってしまった場合、「知らぬ間に意図せずサイバー攻撃へ加担させられる」という危険性をはらんでいます。遠隔操作により、大量のPCからサーバーへ一斉アクセスする「DDoS攻撃」、「不正なスパムメールの送信」などが、これに該当します。

個人はもちろん企業・組織は、常日頃からボットをはじめとするマルウェア感染に、十分な対策を行うことが重要です。

ボットネットおよびボットの危険性

悪質なボットおよびボットネットには、以下のような危険性があります。

まずボット感染しても目に見える症状がなく、バックグラウンドで動作するため、ユーザーのPC操作を妨げることが基本ありません。「著しくPCのパフォーマンスが低下する」「異常なソフトウェアがインストールされる」といった症状が表れない限り、ユーザーがボットへの感染に気付くことは困難と言えます。

またボットの中には手動・自動でアップデートする機能が備わっており、更新することで新たな攻撃を仕掛けたり、攻撃力が強化したりといるメリットがあります。

さらにボットネットは数万～数百万といったボットを束ねて構成されるため、少数で大規模な攻撃を仕掛け、オンラインサービスのダウンやビジネスの停止といった被害をもたらすことができます。過去には数十万の端末を遠隔操作したDDoS攻撃により、米国でいくつもの著名サービスが停止に追い込まれた、という被害も発生しました。
 

ボットネットの仕組み

ここでは、ボットネットが構成される仕組みを確認していきましょう。攻撃者は以下のような順でボットネットを構成します。

まずボットネットを構成するためには、ボットに感染した端末が必要になります。攻撃者は以下のような方法で、ターゲットの端末にボットを侵入させます。

ボットに感染した端末は自動的にC&C（コントロール＆コマンド）サーバーと呼ばれる、ボットネットをコントロールする指令サーバーへと接続します。所有者は気づかない間にデバイスをボットネットに組み込まれ、外部からの遠隔操作を可能にされてしまうのです。

攻撃者はボット感染させたPCにC＆Cサーバーを通して、情報を盗んだり、不正なアクションを行うよう指示出しをしたりします。

ボットネットを悪用したサイバー攻撃の例

ボットネットを悪用したサイバー攻撃の例として、以下のようなものがあります。

それぞれのサイバー攻撃について解説します。

1． DDoS攻撃

ボットネットを悪用した典型的なサイバー攻撃が、「DDoS攻撃」です。

DDoS攻撃とは、攻撃対象のWebサーバーに複数のコンピュータから大量のパケットを一斉送信し、サーバーに負荷をかけ、Webサービスを停止に追い込むサイバー攻撃です。

攻撃者はC＆Cサーバーを通じ各端末に命令することで、ボットに感染したPC群に、一斉にパケットを送信させることが可能です。

DDoS攻撃を受けることで、オンラインサービスやWEBサイトを運用する企業は、以下のようなダメージを受けるリスクがあります。

2． 迷惑メール・スパムメールの大量送信

ボットに感染すると、攻撃者にメールアカウントを操作され、不特定多数に迷惑・スパムメールを送信させられる場合もあります。

攻撃者はボットネットを操ることで、一度に大量のメールを効率よく送ることが可能です。また送信者の特定が困難となるため、犯罪がバレづらいといった利点もあります。

アドレス帳の情報を攻撃者に盗み取られた場合、迷惑・スパムメールの送信先に悪用されるだけでなく、そのアドレス情報がさらなるサイバー攻撃に悪用されるリスクもあるでしょう。

3． クレデンシャルスタッフィング攻撃（アカウント乗っ取り）

「クレデンシャルスタッフィング攻撃」とは、不正に入手したアカウント情報を使って、複数のサイトやアプリケーションに、ボットを用いて不正アクセスを行うサイバー攻撃です。「複数のサービスでIDやパスワードを使いまわす」という、ユーザーの習慣を悪用しています。

クレデンシャルスタッフィング攻撃と似た攻撃として「パスワードリスト攻撃」があります。パスワードリスト攻撃も同様、不正入手した「ID・パスワード」を用いて、サービスやシステムに不正アクセスを図るサイバー攻撃です。

両者の違いは、クレデンシャルスタッフィング攻撃では「ボットネット」を活用し、複数端末から自動で不正ログインを試みるという点にあります。

またこのほかにも「ボットネットを活用してマルウェアを配布させる」「フィッシング詐欺への誘導をおこなう」など、ボットネットを用いたサイバー攻撃は後を絶ちません。

以下で紹介する「感染経路」や「対策」も参考にしながら、ボット感染への対応強化が必要です。
 

ボットの感染経路

ボットの感染経路は主に以下の3つです。

ボットもマルウェアの１種であるため、感染経路は主にその他のマルウェアと同様です。
ここからは、ボットの感染経路について詳しく解説します。

1． OSやアプリケーションの脆弱性を突いて感染させる

OSやアプリケーションに脆弱性（セキュリティ上の欠陥）が残ったまま放置していると、それを悪用して不正アクセスを行います。

不正にシステムに侵入し、端末にボットを送り込むことで感染してしまいます。

2． メールの添付ファイルやリンク経由で感染させる

メールやSMSの悪用は、ボット感染で主流の手口です。

攻撃者は、取引先や知人などを装ってターゲットにメールを送りつけます。添付ファイルはボットウイルスが仕込まれており、受取手が添付ファイルを開封することで感染してしまう手口です。

もしくはメール・SMSの本文にリンクを記載し、クリックした受信者を不正なサイトに誘導してボットに感染させるというケースもあります。昨今では「ドライブバイダウンロード」という、サイトを見るだけでマルウェアに感染してしまう、といった脅威も存在します。

3． 無料のソフトウェアやアプリに含まれる

オンライン上で一般向けに公開される、フリーソフトや無料アプリケーションにボットが含まれており、ダウンロードすることでPCが感染するケースもあります。

ダウンロード後、ボットがすぐに不審な動作を見せることは少なく、感染しても長きにわたり気づかない可能性があります。

提供元が信頼できる場合を除き、安易にソフトウェアをダウンロードすることは危険です。

ボットネットの被害事例

過去にはボットネットの形成により、大規模なサイバー攻撃被害を引き起こした事例がありました。

ボットネットを用いた、被害事例を2つ紹介します。

1． 38万台のIoT機器がボットに感染、大規模なDDoS攻撃を引き起こした事例

2016年9月20日、「Mirai」というボットに感染した大量のIoT機器を操作し、アメリカのセキュリティ情報サイトに大規模なDDoS攻撃が仕掛けられる事件が発生しました。

数十万台規模の機器が一斉にWebサイトへアクセスしたことから、そのサイトはサーバーがダウン。一時的にアクセスできなくなる事態を招きました。

またこの大規模なDDoS攻撃はDNSサーバー（ドメイン名とIPアドレスを紐付け、変換するサーバー）に対しても行われ、TwitterやPinterest、PayPalといった著名なサービスが、一次利用できなくなるといった被害を及ぼしました。

2． ネットバンキングを狙うボット悪用、総額2億5,000万円への不正引き出し事例

2017年10月、インターネットバンキングに不正アクセスし、他人の口座から約2億5,000万円を引き出した疑いで31歳の男性が逮捕される事件がありました。

攻撃者は「ドリームボット」というボットを悪用し、2016年11月から2017年6月にかけて24都道府県42の金融機関を襲撃したとのことです。

ドリームボットとは、主にインターネットバンキングを標的とするボットで、金融機関を偽装したフィッシングメールを送信し、第三者の端末を感染させるケースが一般的です。攻撃者はユーザーからインターネットバンキングのID・パスワードを不正に取得し、アカウントを乗っ取ることで不正送金を行います。

この事件の犯人は、日本初のドリームボットを利用した犯罪の逮捕者になりました。

ボットネットの一部にならないための対策

ボットネットの一部にならないためには、マルウェアへの感染対策が重要です。

多くのサイバー攻撃は「マルウェアの感染」に起因しているため、ボットネットへの対策はあらゆるサイバー攻撃のリスクを軽減することに繋がります。

マルウェア感染に有効な対策は、以下の通りです。

1． OS・ソフトウェアは常に最新の状態にする

ボットネットの一部にならないため、OS・ソフトウェアは常に最新の状態を保ちます。先ほど説明したように、攻撃者はOSやアプリケーションの脆弱性を突いて、ボットを感染させます。

OS・ソフトウェアは定期的にアップデートをし、脆弱性パッチの適用などに漏れがない状態にしましょう。

2． 不審なメールの添付ファイルやWebサイトは開かない

メールやSMSを用いたマルウェア感染は非常に主流な手口です。

不審なメールの添付ファイルや、メール内に記載されたWebサイトへのURLは、安易に開かないよう心がけましょう。

よく使うWebサイトへのアクセスは、メールからではなくアドレスを自分で入力する・ブックマークして訪れるといった方法が安全です。

3． アンチウイルスソフトを導入する

強力なアンチウイルスを導入することで、端末に侵入しようとするボットを検知し、感染を未然に防ぐことができます。

先述のとおりボットは変異しながら検知を逃れようとするため、従来のパターンマッチング式のアンチウイルスでは、検知が短しい場合もあります。ボット対策であればシグネチャ型に頼らず、パターンファイル化されていない「未知のマルウェア」も検出できるアンチウイルスがおすすめです。

LANSCOPE サイバープロテクションでは、AIを活用したアンチウイルスを提供しており、あらゆるボットの検知・ブロックが可能です。

4． EDRを導入する

エンドポイントでの動作や通信を監視し、異常なプログラムを検出する「EDR」の導入もおすすめです。「侵入後のマルウェア検知や駆除が行える」という特性上、潜伏期間が長く見つけづらい「ボットウイルス」と、非常に相性の良いソリューションです。

PCやサーバーといった「エンドポイント」は、アンチウイルスとEDRを同時に運用することで、更に確実なマルウェア駆除を実現きます。

LANSCOPEサイバープロテクションでは、アンチウイルスとセットで導入できる、操作の簡単なEDR「CylanceOPTICS」を提供しています。

ボットネット対策ならLANSCOPEサイバープロテクションにお任せ

ご利用中の端末がボットネットの一部として悪用されないためには、そもそもボットに感染しない環境構築が重要となります。

「LANSCOPE サイバープロテクション」では、ボットをはじめとした凶悪なマルウェアを速やかに検知・ブロックする、2種類のAIアンチウイルスを提供しています。

▼2種類のアンチウイルスソリューション

1． アンチウイルス✕EDR✕監視サービス（MDR）をセットで利用可能な「CylanceGUARD」

アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できます。 EDRとは、PCやスマートフォンに侵入した後のマルウェアに対し、事後検知や駆除を行えるセキュリティソリューションです。

しかし実際「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていないケースも少なくありません。

そういった方におすすめしたいのが、アンチウイルスを中心に３つのサービスを提供する「 Cylanceシリーズ」です。

の３つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。

アンチウイルスのみ、アンチウイルス＋EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。

2． 各種ファイル・端末に対策できるNGAV「 Deep Instinct（ディープインスティンクト）」

そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct（ディープインスティンクト）」がおすすめです。

近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。

昨今、猛威を振った「Emotet（エモテット）」というマルウェア、ランサムウェア攻撃なども、 Deep Instinctで検知することが可能です。

また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。手ごろな価格帯で導入できるのも魅力です、ぜひ以下の製品ページよりご覧ください。

マルウェア感染や不正アクセスを受けたかも……事後対応なら「インシデント対応サービス」

このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応サービス」の利用がおすすめです。

フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。

「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。

まとめ

本記事では「ボットネットとはなにか」をテーマに、仕組みやその危険性・対策について解説しました。

ボットネットは、自分が感染しているという自覚がなく、サイバー攻撃に加担してしまうリスクを備えた脅威です。加害者にならないためにも、日頃から不審なメールやWEBサイトの閲覧には気を付け、アンチウイルスによる定期スキャンなども行っていきましょう。