ボットネット: Botnet)とは、一般にサイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のゾンビコンピュータで構成されるネットワークのことを指す[1]。 サイバー犯罪者の支配下に入ったコンピュータは、使用者本人の知らないところで犯罪者の片棒を担ぐ加害者(踏み台など)になりうる危険性がある[2]。ボットネットにおいて、指令者(ボットハーダーまたはボットマスターもしくは単にハーダーという)を特定することは、ボットネットの性質上非常に困難である。そのため、近年では組織化された犯罪者集団がボットネットを構築し、多額の金銭を得ている[3]

動作原理

編集

もともと「ボットネット」は「IRCボットが接続された状態」を指していたように、今日のボットネットにおいてもIRCが使われている。 ボットネットの文脈において、IRCサーバが「C&Cサーバ(Command and Control server)」と呼ばれることがある。

ボットネットのノードは感染するとダイナミックDNSや応答の速いドメイン登録業者のサービスを使って登録されたドメイン名を使って、IRCサーバに接続する。 IRCに接続したノードはそのIRCの然るべきチャンネルに参加し、自分の存在をチャンネルの参加者に伝え、命令を待つ一種のIRCボットとなる。命令はユーザとして参加している指令者のIRCの発言として為され、命令を受け取ったノードはその命令を実行する。IRCサーバもまたコンピュータウイルスに感染したコンピュータによって構成されていることが多く、ひとつのIRCサーバが止められてもボットネット全体が止まることは無く、指令者の接続元を突き止めるのは困難になっている。このように、ノードの生成/消滅にかかわらず接続性を保証するためにDomain Name Systemに依存しているため、対応にはドメインの提供者の協力が必要になる。

類似の事例として、通信手段に2ちゃんねる等の掲示板を使った例もあった。ある一定の規則でスレッドを立て、そのスレッドにエンコードされた書き込みを行うと、そのスレッドを監視している感染ノードが対象のスレッドを荒すと言うものである。[4] (Sufiage.C) など[5]。また、Twitterインスタントメッセンジャーや他のピア・ツー・ピアファイル共有プロトコルを通信手段に使った例も存在する。

攻撃の種類

編集
  • DDoS(分散型サービス妨害)攻撃:ボットネットは、数多くのゾンビコンピュータを操ることができる。DDoS(分散型サービス妨害)攻撃においては、一斉に標的に向けてサービス妨害攻撃を行うように操る。
  • アドウェア:分散した一意なホストを多く得ることができるため、これを成功報酬型広告にアクセスさせれば収入を怪しまれずに受け取ることができる。
  • スパイウェア:ユーザの振る舞いに関する情報を受け取る。
  • スパムメール:近年[いつ?]、スパムメールに対する意識が高まり、ブラックリストが普及したことや、送信などへの法的な罰則が強化されたため、身元を明かさずにメールを送信する需要が出てきた。世界中に広く感染させることが可能なボットネットを通してメールを送信することによって、フィルタリングを抜けやすく、かつ発信元の足取りを掴みにくくすることができる。この様な方法で送られて来るメールの特徴としては、同種の内容を持ったメールについて、送信ホストが地域的な偏りが無く、デジタル加入者線や、ケーブルテレビダイアルアップのネットワークと思われるようなDNSの逆引きがついていなかったり、ついていても機械的な命名規則でネットワークの特徴が含まれているようなFQDNになっていることが多いことが挙げられる。
  • クリック詐欺:ユーザにクリックさせて広告料を騙し取る。
  • 違法サイトの構築:スパムメールによって宣伝しても宣伝先に足がつくと摘発される可能性がある。そのため、ボットネットによるサイト構築も行われている。多くはHTTPのリクエストを本当のコンテンツを持っているサイトに中継するリバースプロキシサーバと見られる。これによってフィッシングサイトや、勃起不全治療薬等の販売、住宅金融や出会い系サイトを構築している例が存在する。一つの手口では、ボットネットの幾つかのノードをDNSラウンドロビンさせて生存状況によって適宜入れ換えられるようになっている。この手法はFast Flux英語版と呼ばれる。[1]

関連項目

編集

脚注

編集

外部リンク

編集