ボットネットとは？

FOTOKINA | shutterstock.com

犯罪者ハッカーは常に、マルウェアを大規模に拡散したり、分散型サービス拒否（DDoS）攻撃を仕掛ける方法を探しています。ボットネットはその目的に特に適しています。

ボットネット ― 定義

ボットネットとは、攻撃者によって侵害されたインターネット接続デバイスの集合体であり、DDoS攻撃やその他の「タスク」を「群れ」として実行するために使われます。その仕組みは、ボットネットの一部となった各コンピュータが「ゾンビ」コンピュータとなり、大規模なネットワークの無思考な一部となる、というものです。

「マルウェアはコンピュータに感染し、ボットネット運営者に対して、そのコンピュータが命令に盲目的に従う準備ができたことを報告します」と、Shared Assessmentsの北米運営委員会議長ナッサー・ファタ氏は説明します。「これはユーザーが気づかないうちに行われます。目的はボットネットをさらに拡大し、大規模な攻撃を自動化・加速することにあります。」

ボットネット ― アーキテクチャ

ボットネットは、インターネット上で運用される分散型コンピュータシステムの一例です。ボットネットを運用する個人やチームは「コントローラー」または「ハーダー」と呼ばれ、できるだけ多くの「ゾンビ」を自軍に勧誘し、その活動を調整して利益を得る必要があります。ボットネットの形成・維持に寄与するアーキテクチャは、いくつかの要素で構成されます：

ボットネット・マルウェア：サイバー犯罪者はマルウェアを使って標的のコンピュータを制御します。マルウェアがコンピュータに侵入する経路は多岐にわたり、フィッシングやウォータリングホール攻撃、未修正の脆弱性の悪用などがあります。悪意あるコードは、所有者が気づかないうちに侵害されたコンピュータに行動を強制させます。「マルウェア自体はしばしば何かを盗んだり損害を与えたりしようとはしません」と、セキュリティ企業Forcepointの副社長ジム・フルトン氏は説明します。「むしろ、ボットネットソフトウェアが目立たずに動作し続けられるよう、隠れることを優先します。」

ボットネット・ドローン：デバイスが攻撃者に乗っ取られると、「ドローン」―いわば「歩兵」や「ゾンビ」となり、ボットネット軍団の一員となります。ただし、ある程度の自律性や人工知能を持つ場合もあります。「ボットネット・ドローンは、ある程度の知能を持って他のコンピュータやデバイスを勧誘できるため、発見や阻止が難しくなります」と、Schellmanのシニアアセッサー、アンディ・ロジャース氏は語ります。「脆弱なホストを見つけ、ユーザーが知らないうちにボットネットに招き入れます。」

ボットネット・ドローンには、PCやスマートフォン、IoTデバイスなど、インターネットに接続されたあらゆる機器が変化します。後者、たとえばインターネット対応の防犯カメラやケーブルモデムは、攻撃者にとって特に魅力的かもしれません。LookingGlass Cyberの脅威インテリジェンス担当シニアディレクター、デイブ・マーカス氏はこう説明します。「こうしたデバイスは、一度電源を入れたらそのまま放置されがちで、存在を忘れられやすいのです。また、ルーターやスイッチのアップデートを面倒がって避ける人も多く、その結果、機器が未修正のまま放置され、攻撃にさらされやすくなります。」

しかし最も重要なのは、こうしたボットネット・ドローンが多数存在し、しかも正規の機器のように見えることです。PerimeterXの共同創設者兼CTO、イド・サフルティ氏は次のように指摘します。「正規のデバイスがマルウェアに感染することで、ボットネット運営者はプライベートIPアドレスを利用し、正規ユーザーのように見えるリソースや、無償の計算資源を獲得できます。」

ボットネット・コマンド＆コントロール：最後のピースは、ボットネットを制御する仕組みです。初期のボットネットは通常、中央サーバーから制御されていましたが、この中央ノードを停止させればネットワーク全体を無効化できるため、比較的容易に対処できました。現代のボットネットはピア・ツー・ピア型で、各ドローンがインターネット経由で個別のマルウェアシグネチャを認識すると、ドローン間で命令が伝達されます。ボット・ハーダーやボット間の通信は様々なプロトコルで行われます。依然として、軽量でボットに簡単に導入できるIRC（インターネット・リレイ・チャット）がよく使われていますが、TelnetやHTTPなど他のプロトコルも利用され、通信の検出を困難にしています。中にはTwitterやGitHubなどの公開ウェブサイト上で命令を発信する、特に創造的な方法を使うボットネットもあります。

ボットネット自体と同様に、そのアーキテクチャの各要素も分散しています。「犯罪者ハッカーは専門家であり、多くのグループが他のグループと緩やかに連携しています」と、YouAttestのCEOギャレット・グラジェック氏は述べます。「サイバー犯罪の世界では、未公開の脆弱性を悪用するグループ、新たなボットネットのペイロードを作成するグループ、コマンド＆コントロールセンターを管理するグループなどが存在します。」

ボットネット ― 攻撃手法と事例

分散型サービス拒否（DDoS）攻撃は、おそらくボットネットを使った攻撃の中で最も有名かつ一般的なものです。この攻撃では、数百または数千台の侵害されたコンピュータが、サーバーや他のオンラインリソースに大量のリクエストを送りつけ、サービス停止に追い込みます。これはボットネットなしには実現できません。また、DDoS攻撃は、ほぼすべてのインターネット接続デバイスが最低限のウェブブラウザを備えているため、簡単に開始できます。

しかし、攻撃者がボットネットを利用する方法は他にも多くあります。攻撃者の目的によって、感染させるデバイスの種類が決まることもあります。マーカス氏は次のように説明します。「もし私がボットネットをビットコインマイニングに使いたい場合、世界の特定地域のIPアドレスを狙うかもしれません。そうしたマシンは一般的に高性能で、GPUやCPUを備えており、ユーザーが裏でマイニングされていることに気づかない場合も多いからです。」

攻撃の被害者は、ボットネットを操る犯罪者の悪意を実感しますが、ボットの所有者自身は、攻撃者の意図通りなら、自分のコンピュータが何をしているか気づきません。「何が起こるかは、運営者がどこまでやる気があるかによります。多機能なマルウェアを使えば使うほど、所有者がパフォーマンス低下に気づいて発見される可能性が高まります。」

現在では特にDDoS攻撃がボットネットと結びついて注目されていますが、最初のボットネットはスパム拡散のために作られました。カーン・C・スミス氏は2001年にボット軍団を構築し、スパム帝国を拡大して数百万ドルを稼ぎましたが、最終的にインターネットサービスプロバイダーEarthLinkに2500万ドルの損害賠償を請求されました。

近年最も重要なボットネットの一つは、Miraiというマルウェアを基盤にしており、2016年にはインターネットの大部分を一時的に麻痺させました。Miraiはニュージャージー州の大学生によって書かれ、人気ゲーム「Minecraft」のサーバーホスト間の争いから生まれました。このボットネットは特にインターネット接続のテレビカメラを標的にしており、IoT機器の重要性を示す事例となりました。

しかし、他にも多くのボットネットの事例があります。Immersive Labsのサイバー脅威調査ディレクター、ケビン・ブリーン氏は次のように述べます。「大規模なボットネットであるTrickBotは、Emotetのようなマルウェアを利用し、インストール時にソーシャルエンジニアリングを活用します。これらのボットネットは一般的に耐障害性が高く、バンキングトロイの木馬やランサムウェアなど、追加の悪意あるソフトウェアのインストールに使われます。近年、法執行機関は大規模な犯罪ボットネットの破壊を何度か試みていますが、これらは時間とともに何度も復活しているようです。」

ボットネットの購入方法

多くのサイバー犯罪者は、自分で使うためではなく、売るためにボットネットを構築します。こうした取引は、ある程度秘密裏に行われますが、Google検索でも「ストレッサー」や「ブーター」といった名目でサービスが簡単に見つかります。「これらのSaaSサービスは、たとえばPayPalを使って簡単に契約できます。本来は自分のネットワークの耐性をテストするためのものですが、依頼者や標的を確認せずに誰にでもサービスを販売する業者もいます」とファタ氏は述べます。

セキュリティ専門家のブリーン氏も、ボットネットソフトウェアを探している人なら誰でも見つけられると考えています。「適切なキーワードで検索すれば、関連フォーラムにすぐたどり着き、サービスだけでなくソースコードや流出したボットネットも提供されています。こうしたサービスは有名な『スクリプトキディ』たちが、たとえば暗号通貨マイナーの拡散などに利用します。」一方、本物のプロはダークネットで活動し、見つけるのが難しい場合もあります。「専門的なダークネットマーケットプレイスは通常、モデレーションされており、招待制です」とNuspireのサイバー脅威アナリスト、ジョシュ・スミス氏は説明します。「一度アクセスできれば、売り手の評価システムなど、非常に顧客志向の仕組みが整っています。」

「多くのサービスはシンプルなインターフェースを提供しており、IPやURLを指定してボットネット攻撃をワンクリックで開始できます。ユーザーは自分のブラウザから直接ウェブサイトやサーバーをダウンさせることができ、暗号通貨での支払いによりほぼ匿名でいられます」とロジャース氏は説明します。「ランサムウェア集団のような高度な脅威アクターは、TrickBotなど大規模なボットネット運営者と直接協力し、大規模なスピアフィッシングキャンペーンを展開することもあります」とKrollのサイバーリスク担当アソシエイトマネージングディレクター、ローリー・イアコノ氏は述べます。「一度コンピュータが感染すると、マルウェアが情報を収集し、ランサムウェアがネットワークに侵入する手助けをします。」

こうしたボットネットサービスの利用料金は比較的安価であることが多いと、StrikeReadyのCPOアヌラグ・グルトゥ氏は明かします。「ボットネットへのアクセスは1時間あたり最大10ドル程度です。」利用者は支払った分だけのサービスを受けられます。「特定の地域の特定のボットを使いたい場合は価格が上がります」とマーカス氏は言います。「世界の特定地域には高性能なコンピュータが多く、アメリカのマシンやIPアドレスを使ったボットネットは、EU内のものよりもはるかに高価です。アメリカのコンピュータの方が高性能だからです。」

ボットネット攻撃の防止方法

ボットネット対策には、2つのアプローチがあります：

• 自分のデバイスがボット化されるのを防ぐ

• ボットネット経由で仕掛けられる攻撃を防御する

いずれの場合も、既存のセキュリティ戦略に含まれている基本的な対策が有効です：

• ハッカーはしばしばフィッシングメールを通じてデバイスをゾンビ化します。従業員にフィッシングについて十分な教育を行いましょう。

• 十分に保護されていないIoTデバイスもボットネットに組み込まれやすいです。メーカー出荷時のデフォルトパスワードを使わないようにしましょう。

• サイバー犯罪者がマルウェアを仕込んだ場合、最新のアンチウイルスソフトで検出できるようにしておきましょう。

• DDoS攻撃の被害に遭った場合は、悪意あるトラフィックをフィルタリングしたり、CDN（コンテンツデリバリーネットワーク）で容量を増強することができます。

さらに、ボットネット特有の防御策もあります。ブリーン氏は、疑わしいトラフィックに注目することを提案します。「データフロー解析は難しそうに聞こえますが、ボットネットのコマンド＆コントロール通信を発見できる場合があります。」

「私たちは複数のツールを使ってボットネットを阻止しています」と、Lumen Black Lotus Labsの脅威インテリジェンスディレクター、マーク・デハス氏は説明します。「新しいマルウェアサンプルが発見されると、そのコマンド＆コントロールサーバーへの接続手法をリバースエンジニアリングで解析できます。こうして、疑わしいサーバーに接続し、検証し、サーバーがボットに送る命令を監視するボットをエミュレートできます。ボットネットとその運営者との戦いは長期戦ですが、私たちは状況を変えられると信じています。」

ITセキュリティに関するさらに興味深い記事をお読みになりたいですか？無料ニュースレターでは、セキュリティ担当者や専門家が知っておくべき情報を、直接あなたの受信箱にお届けします。