マカフィーは6月8日、セキュリティ用語を解説する連載コラム「今だから学ぶ! セキュリティの頻出用語」の第3回を公開。今回は「ボットネット」について解説した。

ボットとは元々、別のコンピュータに接続して命令を実行する単純なスクリプトやコマンドの集合、あるいはプログラムという意味。ボットそのものには、有害で悪質なものという意味はないが、最近はマルウェアの一種として説明されることが多い。

攻撃者は、ボットを利用してコンピュータに侵入し、乗っ取りを試みる。ボットが進入するのは、企業や個人、政府機関だけでなく、軍事関係のコンピュータなどさまざまだ。攻撃者は、乗っ取りに成功したコンピュータ群に対して、指令をボット攻撃サーバから発信して攻撃する。

これらのコンピュータ群をボットネットという。乗っ取られ、密かに組み込まれたプログラムによって遠隔操作が可能な状態になっているPCのことを「ゾンビPC」と呼ぶことがある。ボットネットは1台から、数十万台のコンピュータで構成される大規模なものまで存在する。

ボットを利用した攻撃のイメージ図

ボットは巧妙に入り込むことから、所有者にとって気づかないうちに自分のPCが感染していることがよくある。そのため、自分で意図しなくても、攻撃に荷担してしまっている場合も多いという。

変化するボットネット

これまでにボットネットは、さまざまな変化を遂げているという。

以前のボットとボットネットは、IRC(Internet Relay Chat)をプロトコルをよく利用していた。IRCとは、チャットをするためにプロトコル。以前はコンピュータエンジニアの中で一般的に使用されていた。

このIRCの機能を利用してホストのスクリーンショットを取得したり、ボットのダウンロードやアップグレードを実行したりする。

P2Pボット

IRCを利用したボットネットの弱点はIRCサーバだという。サーバが閉鎖されると、攻撃者はボットネットを制御できなくなる。そこで、ファイル交換などでよく利用されるP2Pプロトコルを使用した新しいボットネットが登場した。

P2Pのメリットは、処理を分散できること。そして障害に強いこと。そのため、IRC制御のボットネットよりも閉鎖が難しくなっている。

P2Pボットネットの中で巧妙なボットネットと言われるのが「Storm Worm/Nuwar」。このボットネットは、分散したP2Pアーキテクチャを利用し、しばらくの間猛威を振るっていた。

HTTPボット

そのほかにも、IRCではなくWebサイト(HTTP)を使用するボットネットの数が増え始めた。サイバー犯罪者やマルウェアの作成者にとっては、より一般的に利用されているプロトコルを使い始めたということになる。

HTTPへの移行は「エクスプロイトキット」の出現がきっかけで、キットは遠隔のコンピュータにソフトウェアをインストールして、遠隔のWebサイトからコンピュータを制御する。サイバー犯罪者はさまざまなリンクを含むスパムやインスタントメッセージを送信する。リンクをクリックすると、エクスプロイトキットを含むWebサイトに移動する。

サイトでは、エクスプロイトキットがユーザーの所在地、使用OS/ブラウザやアプリーションのバージョンを確認し、使用するエクスプロイトを判断する。これらの作業はユーザーに気付かれずに実行さるため、攻撃に成功すると、感染先のコンピューターを遠隔から制御するために複数のマルウェアをインストールしてしまう。

少しでも不審に思ったら「開かない」「クリックしない」「相手に確かめる」

マカフィーでは、ボットネットのインフラが分散化し、耐久性を増していることを確認している。さらに、検出回避技術や障害対策技術を取り入れたボットネットも存在しているという。

サイバー犯罪者は、利用者のコンピューターをボット化し「ゾンビ」とすることで、遠隔からコントロールしようと機会を伺ってくる。

乗っ取りに合わないためにも、スパムメールや発信元の不明のメッセージは開かないこと、怪しいURLをクリックしないこと、不審に思ったらクリックする前に確認が可能ならば、発信元の人に確認するなど、日頃の注意が必要であると指摘している。