第3回:今だから学ぶ! セキュリティの頻出用語 : ボットネットとは?

ボットネット

セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くこともよくあります。そんな方に、連載で、「今だから学ぶ!」と題して、セキュリティの頻出用語を解説します。第3回は、知らず知らずに自分のPCやサーバーが不正な攻撃に関与しているかもしれない「ボットネット」についてです。

この数年の間に、ボットネットはサイバーセキュリティの専門家だけでなく、企業や一般のユーザーにとっても最大の脅威の一つとなりました。

ボットとは、元々、別のコンピューターに接続して命令を実行する単純なスクリプトやコマンドの集合、あるいはプログラムという意味です。ボットそのものには、有害で悪質なものという意味はありませんでしたが、最近は、マルウェアの一種として説明されることがほとんどです。

ボットは、コンピューターに侵入し、攻撃者は、乗っ取りに成功します。企業や個人、政府機関だけでなく、軍事関係のコンピューターにも侵入しています。攻撃者は、乗っ取りに成功したコンピューター群に対して、指令をボット攻撃サーバーから発信して、攻撃をします。これらのコンピューター群をボットネットといいます。乗っ取られ、密かに組み込まれたプログラムによって遠隔操作が可能な状態になっているPCのことを「ゾンビPC」と呼ぶことがあります。

ボットネットは、1台から、数十万台のコンピュータで構成される大規模なものまで存在します。

 

 

1_2

ボットは巧妙に入り込むことから、所有者にとって、気づかないうちに自分のPCが感染していることがよくあります。そのため、自分で意図しなくても、攻撃に荷担してしまっている場合も多くあります。

変化するボットネット

これまでにボットネットは、さまざまな変化を遂げています。よい意味ではありませんが、ある種の成長をしてきている状況です。

当初のボットとボットネットは、IRC(Internet Relay Chat)をプロトコルをよく利用していました。IRCは、簡単に説明すれば、チャットをするためにプロトコルです。15年ほど前までは、コンピューターエンジニアの中で、一般的に使用されていました。今でも、一部のエンジニアや開発者の間ではまだ利用されています。

IRC の機能を利用してホストのスクリーンショットを取得したり、ボットの ダウンロードやアップグレードを実行します。

P2Pボット

IRC を利用したボットネットの弱点は、 IRC サーバーです。サーバーが閉鎖されると、攻撃者は、ボットネットを制御できなくなります。 そこで、登場してきたのが、ファイル交換などでよく利用されるP2Pプロトコルを使用した新しいボットネットです。

P2P のメリットは、なんといっても、処理を分散できること、そして、障害に強いことです。IRC 制御のボットネットよりも閉鎖が難しくなります。

P2P ボットネットの中で最も巧妙なボットネットの1つは Storm Worm/Nuwarです。このボットネットは、分散した P2P アーキテクチャを利用し、しばらくの間猛威を振るいました。

HTTP ボット

他にも、IRCではなく Web サイト(HTTP)を使用するボットネットの数が増え始めました。サイバー犯罪者やマルウェアの作成者にとっては、より一般的に利用されているプロトコルを使い始めたということになります。

HTTP への移行は「エクスプロイトキット」の出現がきっかけです。これらのキットは、遠隔のコンピューターにソフトウェアをインストールして、遠隔の Web サイトからコンピュータを制御します。サイバー犯罪者はさまざまなリンクを含むスパムやインスタント メッセージを送信します。 これらのリンクをクリックすると、エクスプロイトキットを含む Web サイトに移動します。

このサイトでは、エクスプロイトキットがユーザーの所在地、使用OS/ブラウザやアプリーションのバージョンを確認し、使用するエクスプロイトを判断します。これらの作業はユーザーに気付かれずに実行されます。攻撃に成功すると、感染先のコンピューターを遠隔から制御するために複数のマルウェアをインストールします。

少しでも不審に思ったら「開かない」「クリックしない」「相手に確かめる」

 

マカフィーでは、ボットネットのインフラが分散化し、耐久性を増していることを確認しています。さらに、検出回避技術や障害対策技術を取り入れたボットネットも存在しています。

サイバー犯罪者は、あなたのコンピューターをボット化し「ゾンビ」とすることで、遠隔からコントロールしようと機会を伺っています。

乗っ取りに合わないためにも、スパムメールや発信元の不明のメッセージは開かないこと、怪しいURLをクリックしないこと、不審に思ったらクリックする前に確認が可能ならば、発信元の人に確認するなど、日頃の注意が必要です。


【参考情報】

【関連記事】
第1回:今だから学ぶ! セキュリティの頻出用語 : 標的型攻撃とは? 
第2回:今だから学ぶ! セキュリティの頻出用語 : APTとは? 
第3回:本ブログ 
第4回:今だから学ぶ! セキュリティの頻出用語 : ランサムウェアとは? 
第5回:今だから学ぶ! セキュリティの頻出用語 : マルウェアとは? 
第6回:今だから学ぶ! セキュリティの頻出用語 : サンドボックスとは? 
第7回:今だから学ぶ! セキュリティの頻出用語 : バックドアとは? 
第8回:今だから学ぶ! セキュリティの頻出用語 : ソーシャルエンジニアリングとは? 
第9回:今だから学ぶ! セキュリティの頻出用語 : エンドポイント セキュリティとは? 
第10回:今だから学ぶ! セキュリティの頻出用語 : インシデントレスポンスとは?

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。