概要
ボットネットは、「ロボット」と「ネットワーク」からくる造語です。
ボットと呼ばれるマルウェアに感染したPCなどで構成されるネットワークのことを示すものとして扱われることが多くあります。
これは、数百~数万台で構成されるハーダーもしくはマスターと呼ばれる利用者(攻撃者)の指示で動作します。
トロイの木馬などによって乗っ取られたゾンビPCで構成されたネットワーク・インフラの事を指すこともあります。
一度にマルウェア感染したPCを複数台操作することができるため、DDoS攻撃を用いたサイバー犯罪に悪用されることがあるのです。
その他、スパムメールやスパイウェアなどにも利用されることがあります。
アンダーグラウンド市場では近年、ボットネットを時間レンタルすることができるそうです。
このため、犯罪の敷居が下がっているとの見方が強くあります。
ボットネットの攻撃手口
- 攻撃者はC2サーバーから指令用クライアントに攻撃命令を出す。
この際に複数のクライアントを使い分ける事もある。
- 指令用クライアントは、ゾンビPCを操作して標的に対し攻撃を行う。
- ゾンビPCは、DDoS攻撃や迷惑メールの送信、情報搾取などの攻撃を実行する。
- ゾンビPCを増やすべく、標的PCに対して感染行動を行う。
- 搾取した情報を攻撃者へ送る。
背景と事例
近年でよく知られるボットネットは、ZeuSでしょう。
インターネットバンキングのユーザーを狙った、不正送金で悪用されました。
2011年、ZeuSのソースコードが流出したことによって、多くの亜種が開発されました。
1999年頃からボットネットの存在が確認されていますが、当初はIRC(Internet Relay Chat)を利用するものがほとんどでした。
IRCを利用することによって、攻撃者は比較的容易に攻撃インフラの構築が可能で、さらに対話的にボットネットを制御することができました。
2010年11月のTeam Cymru(チームカムリ)の調査報告によると、Web制御型のものが、IRCの約5倍に増加していることがわかっています。