ボットネットとは? インターネットに接続された攻撃用デバイス群について知ろう。

概要

ボットネットは、「ロボット」と「ネットワーク」からくる造語です。

ボットと呼ばれるマルウェアに感染したPCなどで構成されるネットワークのことを示すものとして扱われることが多くあります。

これは、数百~数万台で構成されるハーダーもしくはマスターと呼ばれる利用者(攻撃者)の指示で動作します。

トロイの木馬などによって乗っ取られたゾンビPCで構成されたネットワーク・インフラの事を指すこともあります。

一度にマルウェア感染したPCを複数台操作することができるため、DDoS攻撃を用いたサイバー犯罪に悪用されることがあるのです。

その他、スパムメールやスパイウェアなどにも利用されることがあります。

アンダーグラウンド市場では近年、ボットネットを時間レンタルすることができるそうです。

このため、犯罪の敷居が下がっているとの見方が強くあります。

ボットネットの攻撃手口

  1. 攻撃者はC2サーバーから指令用クライアントに攻撃命令を出す。

この際に複数のクライアントを使い分ける事もある。

  1. 指令用クライアントは、ゾンビPCを操作して標的に対し攻撃を行う。
  2. ゾンビPCは、DDoS攻撃や迷惑メールの送信、情報搾取などの攻撃を実行する。
  3. ゾンビPCを増やすべく、標的PCに対して感染行動を行う。
  4. 搾取した情報を攻撃者へ送る。

背景と事例

近年でよく知られるボットネットは、ZeuSでしょう。

インターネットバンキングのユーザーを狙った、不正送金で悪用されました。

2011年、ZeuSのソースコードが流出したことによって、多くの亜種が開発されました。

1999年頃からボットネットの存在が確認されていますが、当初はIRC(Internet Relay Chat)を利用するものがほとんどでした。

IRCを利用することによって、攻撃者は比較的容易に攻撃インフラの構築が可能で、さらに対話的にボットネットを制御することができました。

2010年11月のTeam Cymru(チームカムリ)の調査報告によると、Web制御型のものが、IRCの約5倍に増加していることがわかっています。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする