ボットとは、マルウェアなどの有害プログラムを指すものですが、通信を用いて、外部からのコントロールが可能な点に特徴があります。
これが積み重なってネットワークを形成したものを「ボットネット」と呼びます。
ボットネットは、一つの有害なプログラムよりも複雑で、大規模な攻撃を可能にしてしまうために、企業のセキュリティ上の大きな脅威と考えられます。
そこで、仕組・被害例や、どのように対策すると被害を最小限にできるのかについて解説します。
また、複雑多様なサイバー攻撃について、企業の皆様が適切に知り、適切な対策をとっていただけるよう、LRMでは、代表的なサイバー攻撃10個の概要から対策、事例に至るまでを徹底解説した資料を無料で配布しています。
こちらからダウンロードできますので、ぜひご活用ください。
ボットネットとは
ボットネットとは、ボットと呼ばれるマルウェアがネットワークを形成したもののことをいいます。
攻撃者はボットを端末に感染させ、ボットのネットワークに所属するボットが一斉に攻撃をしかけます。
攻撃を仕掛けられたパソコンは、さらにボットネットの一部とされてしまいます。
場合によっては数万から数十万、場合によっては百万といった単位でボット化したパソコン・サーバなどの機器がボットネットを形成することさえあるのです。
そのため大規模な攻撃が可能、しかもネットワークを使い遠隔操作をするので攻撃は変幻自在ともいえ、実に悪質です。
こうした仕組みと性質から、大規模な被害を引き起こす可能性があります。
大流行していたEmotetもボットネット化し、より大きな被害を引き起こしたと考えられています。
ボットとは
ボットは「ロボット」を由来としている言葉ですが、外部からロボットのようにコントロールすることができる点に特徴があることからこう呼ばれています。
ネットワーク経由でコマンドを実行し、感染したマシンはさらに外部から遠隔操作される操り人形としてふるまいます。
巧妙に動きを止めることや、あるいは正常なコマンドに仮託してしまうこともできることから、感染しているかどうかの判断が見かけからはつきにくいことも特徴です。
駆除には広い範囲でのネットワークログの分析や、あるいは振る舞いのパターンを見抜くなど高度な知識と技術を必要とすることも少なくありません。
ボットネットの仕組み
ボットは単一でも、DDoS攻撃(インターネット上のサーバへの攻撃)・迷惑メール送信・他のコンピュータへの感染活動といった攻撃を仕掛けることができる有害プログラムです。
1つのマシンに侵入・感染させる攻撃から、通信を利用して他のマシンも感染させ、ボットのネットワークであるボットネットに取り込むという仕組みを取っています。
当初は、インターネット・社内ネットワーク・IoTの端末間通信などの経路を通り、ボットは感染を拡大します。
その後、ボットはネットワークを広げることができるので、感染した機器同士のP2P型の通信を利用する・オープンネットワークをボット同士で形成させるなど、より攻撃者がコントロールしやすい通信経路を作ります。
例えば、マルウェアの一種であるトロイの木馬は、他のマルウェアを載せ、他のマシンに感染を引き起こす「運び屋」の役をすることが知られています。
感染したマシンを運び屋に仕立て、次々と感染させていくと同時に、ネットワークを形成し、最終的なターゲットへの侵入までボットネットをつないでいくのです。
今まで被害が出た例から、金融機関や、セキュリティ情報サイトや、民間のホスティングサービスプロバイダなど、できるだけ社会的な影響力の大きいターゲットを設定しているとされています。
これらのサービスからの個人情報・金銭の盗取ないし詐取、サービスの停止やかく乱を狙っています。
ボットネットの被害例
銀行の不正送金
2016年から2017年にかけて、銀行のインターネットバンキングからの不正送金が相次ぎ、42の金融機関から被害が生じていました。
2017年には、国内で初の逮捕者が出たことでも知られています。
この時に、原因となったのは「DreamBot」といわれるボットネットです。
感染端末でインターネットバンキングにログオンすると、ワンタイムパスワードを求めるニセの画面が表示され、パスワード入力により自動的に不正送金を引き起こしていました。
世界的には、長らく「Trickbot」というボットネットが不正送金被害を大規模に発生させています。
2016年以来世界各国の100万台以上のデバイスがこのボットネットの影響を受けています。
このボットネットの解体に向けて、マイクロソフト・NTTなどの大手ベンダーが共同で体制を構築していますが、解体には至らないようです。
サービスの停止
ボットネットMiraiによる米国の情報セキュリティサイト(Krebs On Security)の停止事例・IoT機器からのフランスの民間のホスティング・DNS提供事業者OVHに対する攻撃事例などがあります。
攻撃者が影響力の大きな事業者をターゲットとしたものです。
DDoS攻撃、すなわち大量のデータ送信により、サービスを停止に陥らせる攻撃は以前から知られており、事業者により何重にも対策をしているものです。
しかし、攻撃者が隠れたり、あるいは巧妙に正常な動きを偽装することが可能など、より悪質なボットネットは対策を破りサービスを停止させています。
その他にも、迷惑メールの送信・Webサイトの改ざんなどの被害を引き起こします。
ボットネットへの対策
ボットネットには、マルウェアによる攻撃への対策をいくつも重ねて取ることが有効です。
一つで絶対に防げる、という手段はありません。
そこで、感染防止・除去の手段の確保・システムの脆弱性の低減・ネットワークにおける不正アクセス対策の強化、とマルウェアの経路として考えられるところはどこでもブロックできるよう対策しておくことが重要です。
まずは不正なボットを端末から侵入させないことを徹底します。
入り口をあけてしまうことがないよう、OS・アプリケーション・ウイルスソフトウェアなどは最新のものを利用し、攻撃者が脆弱性に付けこむ余地を小さくする必要があります。
また、ユーザーの行動面も重要で、不審なメールは開けない・不審なリンクをクリックしない・会社の管理しているデバイス以外をUSBポートにつなげないなど、基本的なサイバー攻撃に対する対策が有効です。
さらに、不正アクセスの防止のためのIDS/IPSなどの機器を利用すること、Webサーバの防御にWAF(Webアプリケーションファイアウォール)を利用することも有効な対策です。
ひとたび侵入・感染があったら、検知ができるよう、ウイルス検知ソフトやIDSの検知機能を使い、ネットワークから感染機器を遮断し、それ以上にボットによる被害が広がらないようにします。
検知に関しては、最新のパターン・振る舞い検知が可能になるような機器やサービスを使うようにしておきましょう。
ボットネットは、仕掛けは大きいものであり、大規模な被害を出す可能性があります。
しかし、攻撃完了までの時間がかかる面があること、ボットの感染源に対する有効とされる対策はあります。
経路を想定し、打ち手を重ねることにより被害を防ぐようにしましょう。
まとめ
ボットネットは、ボット=有害なプログラムである遠隔操作が可能なマルウエアを積み重ねたネットワークのことですが、性質上マルウェアよりも大規模で悪質な被害を出す可能性があります。
また現に大きな被害を出しています。
被害を防ぐ対策は、マルウェアの侵入経路を想定しつつ基本的なサイバー攻撃対策を行っておくこと、そして、できることを積み重ねておくことがポイントです。
その他のサイバー攻撃にも対策したい方は、こちらの資料もぜひお読みください。