攻撃者の指令で遠隔操作され不正な活動に悪用されるマルウェア。
ボットとは、攻撃者の指令で遠隔操作され、不正な活動に悪用されるマルウェア(=悪意のあるプログラムのこと)です。名前は「ロボット(robot)」が由来で、感染した端末が攻撃者の操り人形のように動かされることからこう呼ばれます。
普通のウイルスとの大きな違いは、感染しただけでは目立った活動をしない点です。ボットは感染後、外部の攻撃者からの命令をじっと待ち、指示が来ると初めて迷惑メール送信や攻撃などを実行します。そのため利用者は感染に気づきにくく、知らないうちに加害者側にされてしまうこともあります。
身近な例で考えると、遠隔操作できるラジコンに似ています。端末という機体に、攻撃者という送信機の電波(指令)が届くと、持ち主の意思とは関係なく動き出します。上の図解では、攻撃者→C&Cサーバ→ボット→標的という一連の操作の流れをまとめています。
多数のボットが、C&Cサーバ(コマンド&コントロールサーバ=攻撃者の指令を中継するサーバ)を通じてまとめて操られる集団をボットネットと呼びます。攻撃者は1台ずつ操作するのではなく、C&Cサーバに命令を1つ置くだけで、つながった何千・何万もの端末を同時に動かせます。
ボットネットが成り立つまでには、次のような流れがあります。
・感染拡大:メール添付や不正サイトを通じてボットを多くの端末に広げる
・待機:感染端末はC&Cサーバに定期的に接続し、命令を待つ
・一括指令:攻撃者がC&Cサーバ経由で全ボットへ同じ命令を配る
身近な例で考えると、会社の朝礼で1人の上司が大勢の社員に一斉に指示を出す様子に似ています。C&Cサーバが上司、ボットが社員にあたり、1つの命令が瞬時に全員へ伝わるため、攻撃の規模が一気に大きくなるのです。
ボットネットは、その「多数の端末を一斉に動かせる」性質を悪用してさまざまな攻撃に使われます。代表的なものがDDoS攻撃(分散型サービス妨害攻撃=大量の通信を一斉に送りつけてサーバを処理しきれなくし、サービスを停止させる攻撃)です。
主な悪用の用途は次のとおりです。
・DDoS攻撃:大量の通信を集中させて標的のサービスを停止させる
・迷惑メールの大量送信:感染端末を踏み台にスパムをばらまく
・仮想通貨の不正採掘:他人の端末の計算能力を勝手に使う
・情報窃取:端末内のIDやパスワードを盗み出す
身近な例で考えると、DDoS攻撃は1つの窓口に大勢が一斉に押し寄せて、本来の客が利用できなくなる状態に似ています。攻撃元が世界中の感染端末に分散しているため、特定のIPアドレスを遮断するだけでは防ぎきれず、対策が難しいのが特徴です。
ボットが感染に気づかれにくい最大の理由は、指令が来るまで目立った悪さをしないからです。普通のウイルスがすぐにファイルを消したり画面を壊したりするのと違い、ボットは感染後もパソコンを普通に動かしたまま、外部のC&Cサーバへひっそりとアクセスして命令を待ちます。
なぜこのような動き方をするかというと、長く潜伏するほど攻撃者にとって使い道が広がるからです。すぐにバレると感染端末が駆除されてしまい、攻撃に使えなくなります。だから攻撃者は意図的に「静かに待機する」設計にしています。
・通常時:メールやWebも普通に使えるため、持ち主が感染を疑わない
・命令が来ると:バックグラウンドで攻撃処理を実行し、終わったらまた待機に戻る
身近な例で考えると、外から遠隔操作される鍵のかかっていない窓のようなものです。何もしていないときは普通の家に見えますが、悪意ある操作者がいつでも侵入できる状態になっています。セキュリティソフトで定期的にスキャンすることが、気づかない感染を発見する基本的な手段になります。
ボットは、インターネット上のさまざまな入り口から端末に入り込みます。感染の多くは、普段の何気ない操作がきっかけになっています。
主な感染経路は次のとおりです。
・メールの添付ファイル:偽のファイル(請求書・写真など)を開くと自動でインストールされる
・不正サイトからのダウンロード:無料ソフトや改ざんされたサイトにボットが仕込まれている
・ソフトウェアの脆弱性(=ソフトの欠陥・弱点):OS(=基本ソフト)やアプリが古いと攻撃者に侵入される穴になる
なぜこれほど多くの経路があるかというと、攻撃者はできるだけ多くの端末に広げたいからです。端末が多いほどボットネットの攻撃力が上がります。 身近な例では、「無料でもらったお菓子に毒が入っていた」ようなイメージです。おいしそうに見えても、中身が危険なことがあります。OSやアプリを常に最新の状態に保つことが、脆弱性を突いた感染を防ぐ基本的な対策です。