ボットネット ぼっとねっと
マルウェアDDoS攻撃C&Cサーバースパム送信踏み台サイバー攻撃
ボットネットについて教えて
簡単に言うとこんな感じ!
ハッカーに乗っ取られたパソコンやスマホが、持ち主も知らないまま「兵隊ロボット」にされちゃった状態だよ。その兵隊たちが世界中に何万台もつながって、悪者の命令ひとつで一斉に攻撃するネットワークのことなんだ!
ボットネットとは
ボットネット(Botnet)とは、マルウェア(悪意あるソフトウェア)に感染して攻撃者に遠隔操作される端末(ボット)が大量に集まり、ネットワーク上で連携する仕組みのことです。「Bot(ロボットの略)」+「Net(ネットワーク)」を組み合わせた造語で、感染した端末の持ち主はほとんどの場合、自分のパソコンが攻撃に加担していることに気づきません。
攻撃者はC&Cサーバー(Command & Control Server:指令サーバー)と呼ばれる司令塔を使って、数千〜数百万台のボットに命令を出します。感染端末は普段は普通に動いているため発見が難しく、いざ攻撃命令が下ると一斉に動き出します。まるで「表向きは善良な市民だが、実は敵のスパイ」というイメージです。
ボットネットはDDoS攻撃・スパムメール送信・個人情報の窃取・仮想通貨の不正採掘など、あらゆるサイバー犯罪のインフラとして使われており、現代のサイバー攻撃を支える最も危険な基盤技術のひとつです。
ボットネットの構造と仕組み
ボットネットは「感染→制御→攻撃」という3段階で機能します。
| フェーズ | 内容 | 具体例 |
|---|---|---|
| ①感染 | マルウェアを端末に送り込む | 不審なメールの添付ファイル、不正サイト |
| ②登録 | 感染端末がC&Cサーバーに接続・登録される | 攻撃者の手元に「兵隊リスト」が増える |
| ③制御 | C&Cサーバーから命令を受信 | 「○時に○○サイトを攻撃せよ」 |
| ④攻撃 | ボット群が一斉に命令を実行 | DDoS・スパム・情報窃取など |
ボットネットの主な悪用目的
| 用途 | 内容 |
|---|---|
| DDoS攻撃 | 大量のリクエストを送りつけてサービスを停止させる |
| スパム送信 | 何億通ものフィッシングメールを一斉送信 |
| 情報窃取 | キーログや認証情報を攻撃者へ送信 |
| クリプトジャッキング | 感染端末のCPUを使って仮想通貨を採掘 |
| ランサムウェア配布 | 他の端末へのマルウェア拡散の踏み台にする |
覚え方:「ゾンビPC軍団」
ボットネットは「ゾンビPC軍団」と呼ばれることもあります。自分の意思では動けず、命令者(攻撃者)に従って動く点がゾンビそのものです。「うちのPCは関係ない」と思いがちですが、セキュリティ対策が甘いと知らぬ間に加担者になります。
歴史と背景
- 1990年代後半 — 初期のボットプログラムが登場。主にIRCチャット経由で命令を受け取るシンプルな仕組み
- 2003年 — Blasterワームが大流行。感染端末がWindowsのWindowsUpdateサーバーにDDoS攻撃を仕掛けた
- 2007年 — Stormボットネットが登場。P2P(ピアツーピア)型の分散制御を採用し、C&Cサーバーを特定・停止させることが困難に
- 2008年 — Confickerワームが世界中で数百万台のPCに感染し、史上最大規模のボットネットを形成
- 2016年 — MiraiボットネットがIoT機器(監視カメラ・ルーターなど)を大量感染させ、米国の大手DNSプロバイダーDynをDDoS攻撃で停止させた
- 2020年代 — クラウドサービスや家庭用IoT機器を標的とした感染が増加。ボットネットは「サービスとして販売(BaaS:Botnet as a Service)」される時代に
通常の攻撃とボットネット攻撃の違い
単独の攻撃とボットネットでは、規模・追跡困難さ・被害の深刻さがまったく異なります。
ボットネットの制御方式
| 方式 | 特徴 | 弱点 |
|---|---|---|
| 中央集権型(C&C) | 1台のサーバーが全ボットを制御。シンプル | サーバーを潰せばボットネット崩壊 |
| P2P型 | ボット同士がピアツーピアで命令を伝達 | 中心がないため潰しにくい |
| ハイブリッド型 | C&CとP2Pを組み合わせた現代主流の方式 | 非常に耐久性が高く対策困難 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4732 | インターネットへのDoS攻撃に関する考察 |
| RFC 6561 | ボットネット対策のためのISPガイドライン |
| NIST SP 800-83 | マルウェアインシデント対応ガイド |