Overview
ボットネット(Botnet)とは、マルウェアに感染して攻撃者の遠隔操作下に置かれた大量のコンピュータやIoTデバイス(ゾンビPC)で構成されるネットワークのことです。「Robot」と「Network」を組み合わせた造語で、感染した個々のデバイスを「ボット」と呼びます。
ボットネットの制御は、C&Cサーバー(Command and Control Server)を通じて行われます。攻撃者(ボットマスター)はC&Cサーバーから数万〜数百万台のボットに一斉にコマンドを送信し、DDoS攻撃(分散型サービス拒否攻撃)、大量スパムメール送信、暗号通貨マイニング、認証情報の窃取、クリック詐欺など、さまざまなサイバー攻撃を実行します。
近年ではIoT機器(ルーター、Webカメラ、DVRなど)を標的としたボットネットが急増しています。IoTデバイスはセキュリティ対策が不十分なケースが多く、デフォルトパスワードのまま運用されていたり、ファームウェアの更新が行われていなかったりするため、大規模なボットネットの構築が容易です。ボットネットはサービスとして貸し出される「Botnet-as-a-Service(BaaS)」モデルも確認されており、サイバー犯罪のエコシステムの中核を担っています。
Details
ボットネットのアーキテクチャ
- 中央集権型(Client-Server型):すべてのボットが1つまたは少数のC&Cサーバーに接続して指令を受ける方式。構築が容易で管理効率が高いが、C&Cサーバーがテイクダウンされるとボットネット全体が機能停止する弱点がある
- P2P型(分散型):ボット同士がピアツーピアで通信し、コマンドをリレー方式で伝播させる方式。中央のC&Cサーバーが不要なため耐障害性が極めて高く、テイクダウンが非常に困難。GameOver ZeusやTDL-4が代表的
- ハイブリッド型:中央集権型とP2P型の両方の特徴を組み合わせた方式。通常はP2Pで通信し、必要に応じてC&Cサーバーからの指令も受け取れる柔軟な構成
C&C通信プロトコル
- IRC(Internet Relay Chat):初期のボットネットで広く使用されたプロトコル。IRCチャンネルを通じてボットにコマンドを送信する。実装が簡単だが、通信パターンが特徴的で検知されやすい
- HTTP/HTTPS:正規のウェブ通信に偽装してC&C通信を行う。ファイアウォールの制限を受けにくく、暗号化(HTTPS)により通信内容の分析が困難
- DNS:DNSクエリ・レスポンスにコマンドとデータを埋め込む手法(DNSトンネリング)。DNSトラフィックはほぼすべてのネットワークで許可されるため、検知が困難
- Tor / ダークウェブ:Torネットワーク上の.onionアドレスにC&Cサーバーを設置し、通信の匿名性を確保する。ボットの送信元とC&Cサーバーの所在地の両方を隠蔽可能
- SNS / クラウドサービス:Twitter、Telegram、Pastebin、Google DocsなどのSNSやクラウドサービスをC&Cチャネルとして悪用する。正規サービスの通信に紛れるため検知が極めて困難
IoTボットネット
IoT機器を標的としたボットネットは、従来のPC型ボットネットと比較して以下の特徴があります。デフォルト認証情報(admin/admin等)を使ったブルートフォース攻撃で容易に侵入可能、ファームウェアの自動更新機能がない機器が多い、24時間稼働する機器が多くボットとしての可用性が高い、セキュリティソフトのインストールが不可能な機器が大半、といった理由で格好の標的となっています。
ボットネットのライフサイクル
典型的なボットネットは以下のライフサイクルで運用されます。まず感染フェーズでスパムメール、エクスプロイトキット、脆弱性スキャンなどを通じてマルウェアを配布し、デバイスを感染させます。次に集結フェーズでボットがC&Cサーバーに接続し、攻撃者の制御下に入ります。運用フェーズで攻撃者はボットに指令を送り、DDoS攻撃やスパム送信などの活動を実行します。最終的に法執行機関やセキュリティ企業によるテイクダウン、またはボットマスターの逮捕によってボットネットは解体されます。
テイクダウン作戦
ボットネットの解体(テイクダウン)は、法執行機関、セキュリティ企業、ISPの協力により実施されます。シンクホーリングではC&Cドメインを法的手続きで差し押さえ、ボットの通信先を無害なサーバーに変更します。サーバーの物理的押収ではC&Cサーバーのインフラを直接押収します。P2P型ボットネットに対してはポイズニングで偽のピアをネットワークに大量投入し、通信を妨害する手法が用いられます。
Security Measures
- 01IoT機器のデフォルトパスワードを変更する:ルーター、Webカメラ、NASなどすべてのIoT機器のデフォルトパスワードを強固なパスワードに変更してください。デフォルト認証情報のままでは、Mirai型ボットネットの自動スキャンにより即座に感染するリスクがあります。
- 02ファームウェアを最新の状態に保つ:IoT機器やルーターのファームウェアを定期的に確認し、セキュリティパッチが公開されたら速やかに適用してください。自動更新機能がある場合は必ず有効にしましょう。サポートが終了した機器は速やかに交換してください。
- 03不要なポートとサービスを無効にする:ルーターやIoT機器で不要なポート(Telnet、SSH、UPnP等)を閉じ、リモート管理機能が不要な場合は無効化してください。攻撃対象面(アタックサーフェス)を最小化することが重要です。
- 04ネットワークの異常な通信を監視する:異常な外部通信(大量のDNSクエリ、未知のIPアドレスへの定期的な通信、通常と異なるポートへのアウトバウンド通信)をネットワーク監視ツールやIDS/IPSで検知してください。ボットのC&C通信の早期発見が被害拡大の防止に繋がります。
- 05ネットワークセグメンテーションの実施:IoT機器を専用のネットワークセグメント(VLAN)に分離し、重要な業務ネットワークへのアクセスを制限してください。IoT機器が感染しても、被害が他のネットワークに波及するのを防止できます。
- 06エンドポイントセキュリティの強化:PC端末にはEDRソリューションを導入し、ボットマルウェアのインストールや不審なプロセスの起動を検知・ブロックしてください。メールフィルタリングにより、ボットネットの初期感染経路となるスパムメールやフィッシングメールの到達を防止することも重要です。
Incidents
📋 Mirai ボットネット DDoS攻撃(2016年)
2016年10月、IoTデバイスで構成されたボットネット「Mirai」が、DNSプロバイダーであるDynに対して大規模なDDoS攻撃を実行し、Twitter、Netflix、Reddit、Spotify、GitHubなど多数の主要ウェブサービスが数時間にわたってアクセス不能になりました。攻撃のピーク時には1.2Tbpsを超えるトラフィックが生成されました。
Miraiは、Webカメラ、DVR、ルーターなどのIoT機器にデフォルトパスワードでログインを試みる単純な手法で、60万台以上のデバイスを支配下に置いていました。Miraiのソースコードが公開されたことで、多数の亜種が作成され、IoTボットネットの脅威が爆発的に拡大しました。この事件はIoTセキュリティの重要性を世界に知らしめる転換点となりました。
📋 Emotet テイクダウン作戦(2021年)
2021年1月、ユーロポール(欧州刑事警察機構)を中心に8カ国の法執行機関が協力し、世界最大規模のボットネット「Emotet」のテイクダウン作戦「Operation Ladybird」を実施しました。Emotetは2014年にバンキングトロイとして登場し、その後ボットネットインフラとして進化しました。
Emotetはスパムメールを主な感染経路とし、感染後はランサムウェア(Ryuk、Conti等)やバンキングトロイ(TrickBot等)など他のマルウェアの配布プラットフォームとして機能していました。テイクダウン作戦ではEmotetのC&Cインフラを押収し、感染端末をクリーンアップするアップデートを配信しました。しかし2021年11月にEmotetは復活が確認され、ボットネットの完全な根絶の困難さが浮き彫りになりました。
📋 GameOver Zeus ボットネット解体(2014年)
2014年6月、FBI主導の「Operation Tovar」により、P2P型ボットネット「GameOver Zeus(GOZ)」の解体作戦が実施されました。GOZはP2P型アーキテクチャを採用しており、中央のC&Cサーバーが存在しないため、従来のテイクダウン手法では対処が困難なボットネットでした。
GOZは世界中で50万〜100万台のPCに感染し、オンラインバンキングの認証情報を窃取して1億ドル以上の損害を引き起こしました。また、GOZのインフラはランサムウェア「CryptoLocker」の配布にも利用されていました。テイクダウンにはP2Pネットワークのポイズニング技術が使用され、ロシア人のボットマスターが起訴されました。P2P型ボットネットに対する法執行機関の対処能力を示す画期的な作戦でした。