マルウェア

ボット ぼっと

マルウェアボットネットC&CサーバーDDoS攻撃感染端末遠隔操作
ボットについて教えて

簡単に言うとこんな感じ!

ボットは「乗っ取られてこっそり命令を聞くようになったPC・スマホ」のことだよ! 自分のパソコンが知らないうちに悪人のリモコンで操られて、迷惑メール送信や攻撃の踏み台に使われてる——そんな怖い状態を「ボット感染」って言うんだ!


ボットとは

ボット(Bot) は “Robot” を縮めた言葉で、IT分野では「自動的に処理を行うプログラム」全般を指します。しかしセキュリティの文脈では、マルウェアの一種として感染したコンピューターを外部から遠隔操作するための悪意あるプログラムを意味します。感染した端末はユーザーが気づかないまま攻撃者の「手下」として動かされるため、非常に厄介な脅威です。

ボットが特に危険なのは、感染してもすぐに目立つ症状が出にくい点にあります。派手にデータを暗号化するランサムウェアとは違い、ボットは「静かに潜み続ける」ことを目的とします。感染端末は攻撃者の指令を待ちながら、通常業務をこなすユーザーの裏でひっそり悪用されます。

感染した端末が大量に集まると ボットネット(Botnet) と呼ばれる巨大な攻撃インフラが形成されます。このボットネットは、スパムメール送信・フィッシング攻撃・DDoS攻撃など、さまざまな悪用に転用されます。企業のPCが知らずにボットネットの一員になっていることも珍しくありません。


ボットの構造と動き方

ボット感染から悪用までには、定型的な流れがあります。

フェーズ内容
感染メールの添付ファイル・悪意あるWebサイト・脆弱性を突いた侵入などで端末にボットプログラムが入り込む
接続感染端末が C&Cサーバー(Command and Control Server / 指令サーバー) に自動で接続し、命令を待機する
潜伏セキュリティソフトを無効化したり、プロセスを偽装したりして発見を回避する
実行C&Cサーバーから命令を受け取り、スパム送信・情報窃取・DDoS攻撃の踏み台などに使われる
拡散同じネットワーク内の他端末にも感染を広げ、ボットネットを拡大する

C&Cサーバーの覚え方

「C&C = 指揮統制(Command and Control)」——軍隊の司令部が前線の兵士に命令を出すイメージです。攻撃者はC&Cサーバーという”司令部”から、世界中に散らばるボット(感染端末=兵士)を一括コントロールします。

ボットの主な悪用パターン

悪用の種類具体的な内容
スパム送信大量の迷惑メールを世界中にばらまく
DDoS攻撃多数のボットで標的サイトに一斉アクセスしダウンさせる
情報窃取キーロガー機能でパスワード・クレジットカード情報を盗む
クリック詐欺広告を自動クリックして不正に広告収益を得る
暗号資産マイニング感染端末のCPU・GPUをこっそり使って仮想通貨を採掘する
ランサムウェア配布ボットネットを踏み台に他のマルウェアをばらまく

歴史と背景

  • 1988年 — 「Morris Worm」がインターネット上を自律的に拡散。ボットの原型となる自己増殖型プログラムの概念が登場
  • 1999年頃 — IRC(チャットプロトコル)を経由してC&Cサーバーと通信する初期型ボットが出現。チャットルームが指令チャンネルとして使われた
  • 2000年代前半 — 「Sobig」「Mydoom」などボットを含む大規模ワームが猛威。スパムメール問題が社会問題化
  • 2007年 — 「Storm Worm」が数百万台規模のボットネットを形成。P2P(ピアツーピア)で分散化し、C&Cサーバーを特定・封鎖しにくくする手法が普及
  • 2008〜2010年 — 「Conficker」が世界中で数千万台に感染。企業・政府機関にも被害が及び、各国の対策機関が協力してボットネット解体作戦を実施
  • 2010年代〜 — IoT機器(監視カメラ・ルーターなど)を狙ったボットが急増。「Mirai」ボットネットは2016年に大規模DDoS攻撃を引き起こし、米国東海岸のインターネットを数時間不通にした
  • 現在 — ボットネットはサービスとして売買される「BotaaS(Botnet as a Service)」まで登場し、技術知識のない攻撃者でも利用できる状況に

ボットネットの構造と対策技術

感染端末がどのようにボットネットを形成し、どこを遮断すれば被害を防げるかを図解します。

ボットネットの構造 攻撃者 (ボットハーダー) C&Cサーバー (Command & Control) 感染PC (ボット端末) 感染PC (ボット端末) 感染IoT機器 (ボット端末) 感染スマホ (ボット端末) 攻撃対象:スパム送信 / DDoS攻撃 / 情報窃取 / クリック詐欺 など ⚔ 封鎖ポイント① ⚔ 封鎖ポイント②

ボット vs ウイルス vs ワーム:何が違う?

特徴ボットウイルスワーム
自己複製△(可能なものも)○(ファイルに寄生)◎(単独で拡散)
外部からの遠隔操作◎(最大の特徴)
潜伏・隠蔽◎(静かに待機)
目的踏み台・情報窃取・DDoS破壊・感染拡大感染拡大
発見のしやすさ難(症状が出にくい)易(ネットが重くなる)

企業が取るべき対策

対策レイヤー具体策
エンドポイントEDR(端末の振る舞い監視)・最新パッチ適用
ネットワークC&Cサーバーへの通信をファイアウォールで遮断、脅威インテリジェンスを活用
メール添付ファイル・リンクのサンドボックス検査
IoT機器デフォルトパスワードの変更・ファームウェア更新
運用定期的な脆弱性スキャン・インシデント対応訓練

関連する規格・RFC

規格・RFC番号内容
RFC 4732インターネットサービスに対するDDoS攻撃(ボットネット悪用の主な手口)の分析と考察
RFC 6561ボットネット対策のための推奨事項(ISPとエンドユーザーへのガイドライン)
RFC 7525TLS/DTLS の安全な使用に関する推奨(C&C通信の暗号化悪用対策に関連)

関連用語

  • マルウェア — ウイルス・ワーム・ボットなど悪意あるソフトウェアの総称
  • ボットネット — 多数のボット感染端末が集まって形成される攻撃インフラ
  • DDoS攻撃 — 大量のボットから標的に一斉アクセスしサービスをダウンさせる攻撃
  • ランサムウェア — ボットを踏み台に配布されることも多い身代金要求型マルウェア
  • C&Cサーバー — ボットに命令を送る攻撃者の指令サーバー
  • ファイアウォール — C&Cサーバーへの通信を遮断するネットワーク防御装置
  • EDR — 端末の振る舞いを監視してボット感染を早期検知するセキュリティツール
  • フィッシング — ボット感染の入り口になることが多い詐欺メール・偽サイト手法