ボットネットとは？

FOTOKINA | shutterstock.com

犯罪者ハッカーは常に、マルウェアを大規模に拡散したり、分散型サービス拒否（DDoS）攻撃を仕掛ける方法を探しています。ボットネットはそのために特に適しています。

ボットネット ― 定義

ボットネットとは、攻撃者によって乗っ取られたインターネット接続機器の集合体であり、DDoS攻撃やその他の「タスク」を「群れ」として実行するために使われます。その背後にある考え方は、ボットネットの一部となった各コンピュータが「ゾンビ」コンピュータとなり、大規模なネットワークの無思考な一部となるというものです。

「マルウェアがコンピュータに感染し、ボットネット運営者にそのコンピュータが命令を盲目的に実行する準備ができたことを通知します」とShared Assessmentsの北米運営委員会議長ナッサー・ファッタ氏は説明します。「これはユーザーの知らないうちに行われます。目的はボットネットをさらに拡大し、大規模な攻撃を自動化・高速化することです。」

ボットネット ― アーキテクチャ

ボットネットは、インターネット上で運用される分散型コンピュータシステムの一例です。ボットネットを運用する人物やチーム、いわゆる「コントローラー」や「ハーダー」は、自分たちの軍隊にできるだけ多くの「ゾンビ」を勧誘し、その活動を調整して利益を得る必要があります。ボットネットの形成と維持に寄与するアーキテクチャは、いくつかのコンポーネントから成り立っています：

ボットネット・マルウェア： サイバー犯罪者はマルウェアを使って標的コンピュータを制御します。マルウェアがコンピュータに侵入する経路は多様で、フィッシングやウォータリングホール攻撃、未修正の脆弱性の悪用などがあります。悪意あるコードは、所有者が気づかないうちに攻撃者が感染したコンピュータを操作することを可能にします。「マルウェア自体はしばしば何かを盗んだり損害を与えたりしようとはしません」とセキュリティベンダーForcepointの副社長ジム・フルトン氏は説明します。「むしろ、ボットネットソフトウェアが目立たずに動作し続けられるよう、隠れていることを目指します。」

ボットネット・ドローン： 一度デバイスが攻撃者に乗っ取られると、それは「ドローン」、つまりボットネット軍の「歩兵」や「ゾンビ」となりますが、ある程度の自律性や場合によっては人工知能も持ちます。「ボットネット・ドローンは、ある程度の知能を持って他のコンピュータやデバイスを勧誘できるため、発見や停止が難しくなります」とSchellmanのシニアアセッサー、アンディ・ロジャース氏は述べます。「脆弱なホストを見つけ、ユーザーの知らないうちにボットネットに招き入れます。」

ボットネット・ドローンには、PCやスマートフォン、IoTデバイスなど、インターネットに接続されたあらゆる種類の機器が変えられます。後者、たとえばインターネット対応の防犯カメラやケーブルモデムなどは、LookingGlass Cyberの脅威インテリジェンス担当シニアディレクター、デイブ・マーカス氏によれば、攻撃者にとって特に魅力的かもしれません。「こうしたデバイスは一度設置すると忘れられがちですし、ルーターやスイッチのアップデートを面倒がって行わない人も多いです。そのため、デバイスが未修正のまま放置され、攻撃にさらされやすくなります。」

しかし重要なのは、こうしたボットネット・ドローンが多数存在し、しかも正規の機器のように見えることです。PerimeterXの共同創設者兼CTO、イド・サフルティ氏は次のように指摘します。「正規のデバイスがマルウェアに感染することで、ボットネット運営者はプライベートIPアドレスを使い、正規ユーザーのように見えるリソースや、タスク実行のための無料の計算リソースを手に入れます。」

ボットネット・コマンド＆コントロール： 最後のピースは、ボットネットを制御するための仕組みです。初期のボットネットは通常、中央サーバーから制御されていましたが、これは中央ノードを停止させればネットワーク全体を無効化できるため、比較的簡単に対策できました。現代のボットネットはピアツーピアモデルで動作し、各ドローンがインターネット経由で個別のマルウェアシグネチャを認識すると、ドローン同士で命令が伝達されます。ボット・ハーダーやボット間の通信は様々なプロトコルで行われます。今でも軽量でボットへのインストールが容易なインターネット・リレーチャット（IRC）がよく使われますが、Telnetや通常のHTTPなど他のプロトコルも利用され、トラフィックの検出を難しくしています。中にはTwitterやGitHubなどの公開ウェブサイトで命令を公開するなど、特に巧妙な手段を使うボットネットもあります。

ボットネット自体と同様に、そのアーキテクチャの各コンポーネントも分散しています。「犯罪者ハッカーは専門家であり、多くのグループが他のグループと緩やかに連携して活動しています」とYouAttestのCEO、ギャレット・グラジェク氏は述べます。「サイバー犯罪の世界では、新しい未公開の脆弱性を悪用するグループ、ボットネットのペイロードを作成するグループ、コマンド＆コントロールセンターを制御するグループなど、役割分担がなされています。」

ボットネット ― 攻撃の種類と事例

分散型サービス拒否（DDoS）攻撃は、おそらくボットネットを使った攻撃の中で最も有名かつ一般的なものです。この攻撃では、数百または数千台の感染コンピュータがサーバーや他のオンラインリソースにリクエストを集中させ、サービス不能に追い込みます。これはボットネットなしでは実現できません。また、DDoS攻撃は、ほぼすべてのインターネット接続デバイスが最低限のウェブブラウザを備えているため、簡単に開始できます。

しかし、攻撃者がボットネットを利用する方法は他にも多くあります。攻撃者の目的によって、感染させるデバイスの種類が決まる場合もあるとマーカス氏は説明します。「もし私がボットネットをビットコインマイニングに使いたい場合、世界の特定地域のIPアドレスを狙うかもしれません。なぜなら、そうしたマシンは一般的に高性能で、GPUやCPUを備えており、ユーザーが裏でマイニングされていることに気づかない可能性が高いからです。」

攻撃の被害者は、ボットネットを制御する者の犯罪的なエネルギーを感じることになりますが、ボットの所有者自身は、攻撃者の意図通り、自分のコンピュータが何をしているか気づかないことがほとんどです。「何が起こるかは、運営者がどこまでやるかによります。多機能なマルウェアを使えば、所有者がパフォーマンス低下に気づくため、発見される可能性が高まります。」

現在では主にDDoS攻撃がボットネットと関連して注目されていますが、最初のボットネットはスパムの拡散を目的に作られました。カーン・C・スミスは2001年にスパム帝国を拡大するためにボット軍を構築し、数百万ドルを稼ぎましたが、最終的にインターネットサービスプロバイダーEarthLinkから2500万ドルの損害賠償を請求されました。

近年最も重要なボットネットの一つは、Miraiというマルウェアを基盤とし、2016年に一時的にインターネットの大部分を麻痺させました。Miraiはニュージャージー州の大学生が作成し、人気ゲーム「Minecraft」のサーバーホスト間の争いから生まれました。このボットネットは特にインターネット接続型のテレビカメラを標的としており、IoT機器の重要性を示す事例です。

他にも多くのボットネットの事例があります。Immersive Labsのサイバー脅威リサーチディレクター、ケビン・ブリーン氏は次のように述べます。「大規模なボットネットであるTrickBotは、インストール時にソーシャルエンジニアリングを多用するEmotetのようなマルウェアを利用しています。これらのボットネットは通常、耐障害性が高く、バンキングトロイの木馬やランサムウェアなど、追加の悪意あるソフトウェアのインストールに使われます。近年、法執行機関はこうした大規模な犯罪ボットネットの壊滅を何度か試みていますが、一時的な成功にとどまっており、時間が経つと再び復活する傾向があります。」

ボットネットの購入方法

多くのサイバー犯罪者は、ボットネットを自分で使うためではなく、販売するために構築します。こうした取引は半ば秘密裏に行われますが、簡単なGoogle検索でも「ストレッサー」や「ブーター」と呼ばれるサービスを比較的簡単に見つけることができます。「これらのSaaSソリューションは、たとえばPayPal経由で簡単に契約でき、本来は自分のネットワークの耐障害性をテストするためのものです。しかし、一部のサービス提供者は、依頼者や標的を確認せずに誰にでもサービスを販売しています」とファッタ氏は述べます。

セキュリティ専門家のブリーン氏も、ボットネットソフトウェアをダウンロードしたい人は必ず見つけられると考えています。「正しいキーワードで検索すれば、関連フォーラムにすぐたどり着き、サービスだけでなくソースコードや流出したボットネットも提供されています。こうしたサービスは、いわゆる『スクリプトキディ』によく利用され、たとえば暗号通貨マイナーの拡散に使われます。」一方、本物のプロはダークネットで活動しており、見つけるのが難しい場合があります。「専門的なダークネットマーケットプレイスは通常、管理されており、招待制です」とNuspireのサイバー脅威アナリスト、ジョシュ・スミス氏は述べます。「一度アクセスできれば、売り手の評価システムなど、顧客にとって非常に親切な仕組みが整っています。」

「多くのサービスはシンプルなインターフェースを提供しており、ボットネットをIPやURLに向けて、ワンクリックで攻撃を開始できます。ユーザーはウェブサイトやサーバーをブラウザから直接ダウンさせることができ、暗号通貨で支払うことでほぼ匿名のままです」とロジャース氏は説明します。「ランサムウェア集団のような高度な脅威アクターは、TrickBotのような大規模ボットネット運営者と直接協力し、大規模なスピアフィッシングキャンペーンを展開することもあります」とKrollのサイバーリスク担当アソシエイトマネージングディレクター、ローリー・イアコノ氏は述べます。「一度コンピュータが感染すると、マルウェアが情報を収集し、ランサムウェアがネットワークに侵入するのを助けます。」

こうしたボットネットサービスのコストは比較的手頃であると、StrikeReadyのCPOアヌラグ・グルトゥ氏は明かします。「ボットネットへのアクセスは1時間あたり最大10ドルかかることがあります。」利用者は支払った分だけのサービスを受け取ります。「特定の地域の特定のボットを使いたい場合、価格は上がります」とマーカス氏は述べます。「世界の一部地域には高品質なコンピュータが多く、たとえば米国のマシンやIPアドレスを基盤とするボットネットは、EU内のものよりもかなり高価です。なぜなら米国のコンピュータは性能が高いからです。」

ボットネット攻撃の防止方法

ボットネット対策には、2つの異なるアプローチがあります：

• 自分のデバイスがボット化されるのを防ぐ

• ボットネット経由で仕掛けられる攻撃を防ぐ

いずれの場合も、堅実なセキュリティ戦略の一部として既に取り入れられている対策がほとんどです：

• ハッカーはしばしば、フィッシングメールで配布されるマルウェアによってデバイスをゾンビ化します。従業員にフィッシングについて十分に教育しましょう。

• セキュリティが不十分なIoTデバイスもボットネットに組み込まれやすいです。こうしたデバイスがメーカー出荷時のデフォルトパスワードを使っていないか確認しましょう。

• サイバー犯罪者がマルウェアをコンピュータに送り込んだ場合、最新のアンチウイルスソフトで検出できるようにしておきましょう。

• DDoS攻撃の被害に遭った場合は、悪意あるトラフィックをフィルタリングしたり、コンテンツデリバリーネットワークで容量を増強したりできます。

さらに、ボットネット特有の防御テクニックもいくつかあります。ブリーン氏は、疑わしいトラフィックに注意を払うことを提案しています。「データフロー解析は難しそうに聞こえますが、ボットネットのコマンド＆コントロール通信を見つけるのに役立ちます。」

「私たちは複数のツールを使ってボットネットを阻止しています」とLumen Black Lotus Labsの脅威インテリジェンスディレクター、マーク・デハス氏は説明します。「新しいマルウェアサンプルが発見されると、リバースエンジニアリングによって、それがコマンド＆コントロールサーバーにどのように接続するかを特定できます。これにより、疑わしいサーバーに接続して検証し、ボットに送信される命令を監視できるボットをエミュレートできます。ボットネットおよびその運営者との戦いは長期戦ですが、私たちは形勢を逆転できると信じています。」

ITセキュリティに関する他の興味深い記事を読みたいですか？無料ニュースレターに登録すれば、セキュリティ担当者や専門家が知っておくべき情報がすべて、直接あなたの受信箱に届きます。