ボット・ボットネットとは｜仕組み・対策・事例 | london3.jp

概要

ボット（bot）とは、感染したコンピュータを攻撃者が外部から遠隔操作できるようにするマルウェアです。「ロボット」が語源で、感染端末は攻撃者の命令どおりに動く"操り人形"になります。

多数のボット感染端末がネットワークでつながり、攻撃者の指令で一斉に動く集団をボットネットと呼びます。利用者は感染に気づかないまま、DDoS攻撃・スパムメール送信・不正アクセスの踏み台として悪用されてしまいます。

詳細（C&Cサーバ・仕組み）

ボットネットの仕組み

マルウェア感染で端末がボット化する。
ボットは攻撃者のC&Cサーバ（指令サーバ／C2）に接続し、命令を待つ。
攻撃者がC&Cサーバから一斉に指令を出す。
多数のボットが同時に攻撃（DDoSやスパム送信）を実行する。

攻撃者はボットハーダー（牧者）と呼ばれ、数万〜数百万台規模のボットネットを操ることもあります。近年はIoT機器（防犯カメラ・ルータ等）の感染も増えています。

ボットのキーワードは「遠隔操作」と「C&Cサーバ（指令サーバ）」「踏み台」。標的型攻撃の出口対策で「C&C通信の遮断」が登場する点とも結びつけて覚えましょう。

対策

ウイルス対策ソフト・EDRでボット感染を検知・駆除する。
OS・機器のパッチ適用、IoT機器の初期パスワード変更で感染を防ぐ。
ファイアウォール・プロキシでC&Cサーバへの不審な外部通信を遮断する。
自端末が踏み台になっていないか、外向き通信のログを監視する。
感染端末は速やかにネットワークから隔離する。

ボット感染は「自分が被害者であると同時に、他者への攻撃の加害者になる」点が重要です。C&Cサーバとの通信を断つことが、ボットネットを無力化する鍵になります。

インシデント事例

Mirai（IoTボットネット）

初期パスワードのままのIoT機器（防犯カメラ・ルータ等）を大量に感染させてボットネットを構築し、大規模DDoS攻撃を引き起こした事例です。著名なDNSサービスがダウンし、多数のWebサービスが利用不能になりました。IoT機器のパスワード管理の重要性を世界に示しました。

スパム・不正送金の踏み台

ボット化した個人PCが、大量のスパムメール送信やネットバンキングの不正送金に悪用される事例があります。利用者は気づかぬうちに犯罪に加担させられてしまいます。

試験での問われ方

「感染端末を遠隔操作し、攻撃の踏み台にするマルウェアはどれか」→ ボット。
「ボットネットに指令を出すサーバはどれか」→ C&Cサーバ。
「DDoS攻撃に悪用される感染端末群はどれか」→ ボットネット。