ボットネット




ボットネット(英:Botnet)とは、一般にサイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のゾンビコンピュータで構成されるネットワークのことを指す[1]
サイバー犯罪者の支配下に入ったコンピュータは、使用者本人の知らないところで犯罪者の片棒を担ぐ加害者(踏み台など)になりうる危険性がある[2]。ボットネットにおいて、指令者(ボットハーダーまたはボットマスターもしくは単にハーダーという)を特定することは、ボットネットの性質上非常に困難である。そのため、近年では組織化された犯罪者集団がボットネットを構築し、多額の金銭を得ている[3]




目次






  • 1 動作原理


  • 2 攻撃の種類


  • 3 関連項目


  • 4 脚注


  • 5 外部リンク





動作原理


もともと「ボットネット」は「IRCボットが接続された状態」を指していたように、今日のボットネットにおいてもIRCが使われている。
ボットネットの文脈において、IRCサーバが「C&Cサーバ(Command and Control server)」と呼ばれることがある。


ボットネットのノードは感染するとダイナミックDNSや応答の速いドメイン登録業者のサービスを使って登録されたドメイン名を使って、IRCサーバに接続する。
IRCに接続したノードはそのIRCの然るべきチャンネルに参加し、自分の存在をチャンネルの参加者に伝え、命令を待つ一種のIRCボットとなる。命令はユーザとして参加している指令者のIRCの発言として為され、命令を受け取ったノードはその命令を実行する。IRCサーバもまたコンピュータウイルスに感染したコンピュータによって構成されていることが多く、ひとつのIRCサーバが止められてもボットネット全体が止まることは無く、指令者の接続元を突き止めるのは困難になっている。このように、ノードの生成/消滅にかかわらず接続性を保証するためにDomain Name Systemに依存しているため、対応にはドメインの提供者の協力が必要になる。


類似の事例として、通信手段に2ちゃんねる等の掲示板を使った例もあった。ある一定の規則でスレッドを立て、そのスレッドにエンコードされた書き込みを行うと、そのスレッドを監視している感染ノードが対象のスレッドを荒すと言うものである。[4] (Sufiage.C) など[5]。また、Twitterやインスタントメッセンジャーや他のピア・ツー・ピアファイル共有プロトコルを通信手段に使った例も存在する。



攻撃の種類




  • DDoS(分散型サービス妨害)攻撃:ボットネットは、数多くのゾンビコンピュータを操ることができる。DDoS(分散型サービス妨害)攻撃においては、一斉に標的に向けてサービス妨害攻撃を行うように操る。


  • アドウェア:分散した一意なホストを多く得ることができるため、これを成功報酬型広告にアクセスさせれば収入を怪しまれずに受け取ることができる。


  • スパイウェア:ユーザの振る舞いに関する情報を受け取る。


  • スパムメール:近年、スパムメールに対する意識が高まり、ブラックリストが普及したことや、送信などへの法的な罰則が強化されたため、身元を明かさずにメールを送信する需要が出てきた。世界中に広く感染させることが可能なボットネットを通してメールを送信することによって、フィルタリングを抜けやすく、かつ発信元の足取りを掴みにくくすることができる。この様な方法で送られて来るメールの特徴としては、同種の内容を持ったメールについて、送信ホストが地域的な偏りが無く、デジタル加入者線や、ケーブルテレビやダイアルアップのネットワークと思われるようなDNSの逆引きがついていなかったり、ついていても機械的な命名規則でネットワークの特徴が含まれているようなFQDNになっていることが多いことが挙げられる。


  • クリック詐欺:ユーザにクリックさせて広告料を騙し取る。

  • 違法サイトの構築:スパムメールによって宣伝しても宣伝先に足がつくと摘発される可能性がある。そのため、ボットネットによるサイト構築も行われている。多くはHTTPのリクエストを本当のコンテンツを持っているサイトに中継するリバースプロキシサーバと見られる。これによってフィッシングサイトや、勃起不全治療薬等の販売、住宅金融や出会い系サイトを構築している例が存在する。一つの手口では、ボットネットの幾つかのノードをDNSラウンドロビンさせて生存状況によって適宜入れ換えられるようになっている。この手法はFast Fluxと呼ばれる。[1]



関連項目



  • アンチウイルスソフトウェア

  • インターネットボット

  • マルウェア

  • メールアドレス検索ロボット

  • 総当たり攻撃

  • Gameover ZeuS

  • ゾンビコンピュータ



脚注


[ヘルプ]




  1. ^ 脅威とは:FAQ Kaspersky Labs


  2. ^ サイバークリーンセンター ボット ウイルスとは


  3. ^ ボットネットの概要 PDF形式


  4. ^ 命令を受けて2ちゃんねるへの攻撃を行なうボット「Trojan.Sufiage.C」


  5. ^ “遠隔操作ウイルス”、その表の顔の1つは「痴漢君(Chikan.exe)」




外部リンク




  • Know your Enemy: Tracking Botnet (本稿の主な出典)


  • サイバークリーンセンター総務省・経済産業省によるbot駆除を支援する連携プロジェクト






Popular posts from this blog

android studio warns about leanback feature tag usage required on manifest while using Unity exported app?

SQL update select statement

'app-layout' is not a known element: how to share Component with different Modules