ボットネットとは？

普段と変わることは何もしていないにもかかわらず、デバイスの動作が突然遅くなったり、デバイスが異常に熱くなったりしたことはありませんか？ そのような場合、デバイスが感染してボットネットの一部として使用された可能性が高いです。

ボットネットは、感染してハッカー (「ボットマスター」または「ボットハーダーとも呼ばれます) のコントロール下にあるコンピューターまたはモノのインターネット (IoT) の集団を意味します。ボットマスターはボットネットが提供するコンピューティングのリソースプールを利用して大規模な攻撃を仕掛けることができます。 

ボットネットのしくみ

ボットマスターはボットネットを構築するためにまずデバイスを感染させ、感染したデバイスから成るネットワークを作り、攻撃に利用できる状態にします。ソフトウェア/ファームウェアのエクスプロイト、または不正なリンクからのダウンロードや感染ファイル経由でデバイスに侵入して感染させます。デバイスが感染したら、ボットマスターは感染したデバイスのコンピューティングリソースを利用して攻撃を仕掛けますが、多くの場合、デバイスの所有者はこれに気付きません。ボットネットの構築に必要な感染デバイスの数は特に決まっていませんが、感染デバイスのネットワークが大きいほど、攻撃の影響力が大きくなります。感染したデバイスをコントロールする2つの方法があります。

クライアント - サーバーモデル

ボットをコントロールするには、サーバー (ボットマスター) とクライアント (感染したコンピューター/デバイス) 間の通信を可能にするインフラストラクチャが必要になります。クライアント - サーバーモデルはボットをコントロールする最初のモデルで、集中型サーバー (コマンド＆コントロールサーバー = C&C) を作成することで機能します。つまりクライアント - サーバーモデルでは、ボットマスターの C&C サーバーによって提供される指示にのみ従います。そしてこの依存関係がこのモデルの最大の弱点となります。C&C サーバーが発見されたり、無効化されたりした場合、ボットネット全体が機能しなくなるためです。

P2P および分散型コマンド & コントロール

クライアント - サーバーモデルの弱点を回避する、ピアツーピア (P2P) と分散型 C&C のモデルが登場しました。このモデルでは、あらゆるクライアントがサーバーとして機能します。単一ソースからの指示に従うのではなく、ボットネットを構成するすべてのクライアントが指示を伝達できるのです。このモデルでは指示の提供に時間がかかるものの、ボットネットの解体はほぼ不可能です。

ボットネットを使用する攻撃の種類

ボットネットは単一のコンピューターで可能なあらゆる攻撃を実行できますが、違いは攻撃の規模です。DDoS 攻撃やアカウント乗っ取り、スパムなど、大量のリクエストを発生させる攻撃においてボットネットが最も頻繁に使用されます。  最大規模のボットネット攻撃には、2016年に Twitter や Netflix、Reddit などの人気 Webサイトをダウンさせた Mirai ボットネットによる DDoS 攻撃や、200万近い PC を操作してクリック詐欺を実行し、約3,000万ドルに及ぶ被害を出した 3ve ボットネットが挙げられます。 

ボットネットの未来

このページでは「コンピューター」ではなく「デバイス」という言葉を使用してきました。確かにコンピューターはボットマスターの攻撃対象ですが、ここ数年あらゆる IoT デバイスもボット攻撃に悪用される可能性があることを目の当たりにしてきたのがその理由です。ルーターやスマートフォン、スマートウォッチを含め、インターネットに接続されているものはすべて、ハッキングされ、ボットネットで使用される恐れがあります。キッチンのスマート冷蔵庫でさえ、人気 Webサイトへの攻撃に使用される可能性があるのです。残念ながら多くの IoT デバイスでは、攻撃から適切に保護する機能が初期開発の段階で組み込まれていませんでした。幸い IoT デバイスはインターネットに接続されているので、多くの場合、ソフトウェアのアップデートで十分な保護が得られます。「ボットの歴史」のセクションでは、現実のボットとボットネットの発展について年代別に詳しくご紹介しています。