ボットネットとは

ボットネットの利用目的

ボットネットを使用した攻撃にはさまざまなタイプがあり、多数のエンドポイント デバイスを遠隔操作で利用することで何らかのメリットを得ています。一般的なボットネット攻撃の例としては、次のようなものがあります。

• 分散型サービス拒否：DDoS攻撃では、多くのデバイスから一斉にトラフィックを送信し、ターゲットのサーバーやインフラの処理能力や帯域幅を圧迫して、通常のサービス提供を妨げます。
• フィッシングなどのメール詐欺：ボットネットを通じて、さまざまなアカウントやIPアドレスから大量の迷惑メールやフィッシング メッセージを送信することができます。これは、クレデンシャル フィッシング、金融詐欺、マルウェア キャンペーンなどに利用されます。
• 暗号通貨マイニング：ボットネットの集合的な処理能力をクリプトマイニング マルウェアと組み合わせて使用することで、攻撃者はデバイス所有者が認識、同意していないところでデジタル通貨をマイニングできます(別名クリプトジャッキング)。
• 総当たり攻撃：ボットネットによって、ターゲットのオンライン アカウントにアクセスするために連続してログインを試みることができます。また、漏洩によって公開された資格情報を使用して、複数のWebサイトに対してすばやく一斉にクレデンシャル スタッフィング攻撃を仕掛けることも可能です。
• プロキシベースの難読化：攻撃者は、ボットネット デバイスをフォワード プロキシとして利用し、悪意のあるトラフィックをリダイレクトして、自身のアイデンティティーと場所を隠すことができます。ダークWebを介して他の攻撃者にプロキシのアクセス権を販売することもあります。
• トロイの木馬、キーロギング、パケット スニッフィング：ボットネット マルウェアを使用することで、ボットが送受信するデータを監視し、ログに記録するだけでなく、ユーザーがデバイスに入力した情報(ログイン資格情報など)を収集することができます。

ボットネットの仕組み

ボットネットの構築は、ボットネット マルウェアの配布から始まります。このマルウェアは他のタイプのマルウェアと同様に、フィッシング メールや脆弱性の悪用などを通じて配布され、感染したデバイスを「ボット」に変えます。次に、ボットはハッカーが制御する中央サーバーと通信します。このサーバーは、コマンド＆コントロール(C2またはC&C)と呼ばれ、ハッカーはこのサーバーを使ってボットに指示を送ります。

C2サーバーは、ボットにさまざまな攻撃を実行するための指示を出すだけでなく、ソフトウェア アップデートを発行し、検出または防御されにくくなるよう、ボットネットの機能や能力を改善または変更できます。さらに、一つのボットネットは数百台から数千台にも上る広く分散したデバイスで構成される場合があり、デバイスの所有者は自分のデバイスがボットネットの一部になっていることに気付かない可能性があります。

ボットネットが検出を回避する仕組み

ボットネット マルウェアは、ポリモーフィック型コードやドメイン生成アルゴリズム(DGA)、暗号化などの高度な技術を使用してバックグラウンドで密かに動作することで、発見を逃れられるように設計されています。こうした方法により、マルウェアは見かけ上の姿を変え、通信経路を変更または不可視化できるようになります。そのため、シグネチャーベースのウイルス対策や従来型のネットワーク セキュリティ ハードウェアなどの通常のサイバーセキュリティ対策では、ボットネットの操作に関連する悪意のあるトラフィックを検出、傍受、分析することが困難です。

ボットネットの制御方法

ボットネットの運用者(ボット ハーダー)は、主に次の2つの方法でボット デバイスを制御できます。

• 集中制御：C2サーバーが各ボットに指示を送ります。ボットどうしが直接通信することはありません。
• 分散型またはピアツーピア制御：C2サーバーが一つのボットだけに指示を送信します。このボットが他のボットとの通信を担います。

集中型ボットネットはP2Pボットネットよりもセットアップが簡単ですが、ハンター側は中央サーバーを発見して無力化するだけでよいため、比較的簡単にシャットダウンされる場合があります。逆に、P2Pボットネットはオーバーヘッドが大幅に増加するものの、相互通信するすべてのデバイスのなかからC2サーバーを検出するのははるかに難しいため、シャットダウンされにくくなります。

影響を受ける可能性があるデバイスの種類

マルウェアを実行できる限り、インターネットに接続されたあらゆるデバイスがボットネットの一部になる可能性があります。具体的には、次のようなデバイスが含まれます。

• コンピューター、スマートフォン、その他のモバイル デバイス：すべての一般的なオペレーティング システムを実行するものが対象になります。
• サーバー、ルーター、その他のネットワーク ハードウェア：こうしたデバイスは、攻撃の拡散をいっそう促進する可能性があります。
• IoT/OTデバイス：多くの場合、堅牢なセキュリティを欠いています。従来エアギャップで保護されていたOTシステムは、ハイパーコネクティビティーを念頭に置いて設計されていません。攻撃者は、IoTデバイスの脆弱性を悪用することで、強力なDDoS攻撃を開始できる大規模なボットネットを構築することができます。

ボットネット攻撃の例

ボットネットは、完全に停止することが難しいため、幅広いサイバー攻撃で依然としてよく使用されています。ここでは、過去数年間に活動していた有名なボットネットをいくつか紹介します。

1. Miraiは、総当たり攻撃とリモート コードの実行により、IoTデバイスをボットネット マルウェアに感染させます。長年にわたり最も蔓延しているIoTマルウェア ファミリーの一つであり、2016年には、Miraiによって当時の史上最大規模のDDoS攻撃が実行されました。
2. Gafgytとその亜種はLinuxシステムに感染してDDoS攻撃を実行します。2014年以降、数百万台のIoTデバイスが感染しています。Gafgyt関連のボットネットは、最大400 Gbps規模のDDoS攻撃を引き起こしてきました。
3. BotenaGoは、総当たり攻撃による認証など、一部Miraiと同じ手法を使用して、ルーターやIoTデバイスに感染します。オープン ソースのGo言語で記述され、GitHubで公開されているため、誰もがこれを変更、配布して攻撃に利用できます。
4. Moziは、2019年に発見されました。主に、強度の低いまたはデフォルトの認証情報が使用されているIoTデバイスをエクスプロイトし、ボットネット マルウェアに感染させます。Moziは、2023年上半期のIoTマルウェアの5%以上を占めていました。
5. VPNFilterは、特にICS/SCADA環境のデバイスを標的としており、ルーターやストレージ デバイスに感染します。ロシアのサイバー スパイ グループ「Fancy Bear」が作成したとされ、データの抜き取り、デバイスのレンガ化、ルーター再起動後の永続化が可能です。

ボットネットから組織を守る方法

ボットネット攻撃は、世界規模で広く展開されているうえ、高度な回避戦術や暗号化通信が用いられています。オープン ソースの亜種が急増し、脆弱な標的が拡大し続けるなか、こうした攻撃は依然として広く蔓延しており、遭遇する可能性の高い脅威となっています。組織のデバイスを安全に保つには、ボットネットの活動を一貫して検出、軽減できるセキュリティが必要です。

Zscaler Internet Access™ (ZIA™)は、クラウド ネイティブ セキュリティ サービス エッジ(SSE)ソリューションです。世界最大のセキュリティ クラウドから提供される拡張可能なSaaSプラットフォームで従来のネットワーク セキュリティ ソリューションをリプレースし、包括的なゼロトラスト アプローチで高度な攻撃とデータ流出を防止します。ZIAを利用することで、ボットネットやC2の活動を検出し、ボットネットを効果的に阻止できるようになります。

• 侵入防止システム(IPS):ユーザー、アプリ、脅威に関するインテリジェンスをコンテキストを含めて提供し、ボットネット、高度な脅威、ゼロデイ脅威に対する包括的な保護を実現します。
• 高度な脅威対策(ATP):ボットネット、コマンド＆コントロール トラフィック、危険なP2P共有、悪意のあるアクティブ コンテンツ、クロスサイト スクリプティング、詐欺サイトなどに対する組み込み型の保護機能を提供します。

Zscaler Zero Trust SD-WANは、Zscaler Zero Trust Exchange™を介してIoTデバイスのトラフィックを拠点からプライベート アプリやインターネットへと安全に仲介し、IoTベースのマルウェアのラテラル ムーブメントを制限するとともに、C2サーバーとの通信を制御します。

Zscaler IoT Device Visibilityは、エンドポイント エージェントを必要とせずに、組織全体のIoTデバイス、サーバー、管理対象外のユーザー デバイスを包括的に可視化します。