サイバー攻撃の一般的で効果的な方法として、ボットネットは今日のインターネットセキュリティに大きな脅威をもたらします。この記事では、ボットネットの概念と制御方法、および6つの悪名高いボットネットを紹介します。この記事を読んだ後、ボットネットについて予備的に理解できることを願っています。
ボットネットとは何ですか? ボットネットは、1つ以上の伝播手段を使用して多数のホストをボットプログラム(ゾンビ)ウイルスに感染させるネットワークであり、コントローラーと感染したホストの間で1対多で制御できるネットワークを作成します。
これらは「ボット軍」と呼ばれることもあり、スパムの送信や分散型サービス拒否(DDoS)攻撃の実行など、さまざまな活動にサイバー犯罪者が使用する可能性があります。
ラップトップ、デスクトップ、スマートフォン、DVRプレーヤー、ワイヤレスルーター、その他のモノのインターネット(IoT)デバイスなど、インターネットに接続されたデバイスをボットネットに追加できます。
ボットネットは、コマンドアンドコントロール(C&C)サーバーによって制御されます。このサーバーは、ボットネット内のボットネットにコマンドを送信したり、ボットネットによって収集された情報を受信したりできるハッカーまたはハッカーグループによって制御されるコンピューターです。ボットネットのコントローラーは、ボットボットまたはボットマスターと呼ばれます。
IoT(Internet of Things)の出現により、ボットネットにさらに多くのデバイスを追加できるようになりました。また、多くのIoTデバイスは現在、十分に保護されておらず、ほとんどの場合、更新が困難なデフォルトのパスワードとファームウェアに依存していることに注意してください。これは、ボットネットのサイズが将来簡単に拡大する可能性があることを意味します。
ボットネットはどのようにコンピュータを制御しますか ボットネットは、ボットマスターコントローラーによっていくつかの異なる方法で制御できます。
従来、ボットネットはC&Cサーバーによって制御されていました。この場合、ボットデバイスは所定の場所に戻り、サーバーからのコマンドを待ちます。ボットコントローラーはコマンドをサーバーに送信し、サーバーはコマンドをボットネットワークに転送し、収集された結果または情報はボットデバイスによってその中央サーバーに返送されます。
ただし、集中型サーバーを使用すると、ボットネットが攻撃や妨害行為に対してより脆弱になります。このため、現在、多くのボットネットコントローラーは主にピアツーピア(P2P)モデルを使用しています。
P2Pボットネットでは、相互接続されたボットデバイスは中央サーバーに報告せずに情報を共有します。つまり、感染したボットデバイスはコマンドの送信と受信の両方を行います。次に、これらのボットデバイスは、ランダムなIPアドレスをプローブして、他の感染したデバイスに接続します。連絡を受けると、ボットデバイスはソフトウェアバージョンや既知のデバイスのリストなどの情報で応答します。連絡先のボットに新しいソフトウェアバージョンがある場合、他のボットは自動的にそのバージョンに更新されます。このアプローチにより、中央サーバーに接続することなくボットネットを拡張して最新の状態に保つことができるため、法執行機関やその他の機関がボットネットを停止することがより困難になります。
ボットネットの使用 ボットネットの最も一般的な2つの用途は、スパムキャンペーンを送信することと、分散型サービス拒否(DDoS)攻撃を実行することです。
ボットデバイスを使用して電子メールマルウェアを送信することもできます。感染したコンピューターから情報を収集するなど、マルウェアの種類によって標的が異なる場合があります。これには、パスワード、クレジットカード情報、および闇市場で販売できるその他の情報が含まれる場合があります。企業ネットワーク内のデバイスがボットデバイスになると、機密性の高い企業情報が盗まれるリスクもあります。
ボットデバイスは、クリック詐欺、偽のトラフィックを作成し、ボットデバイスの所有者の収益を生み出すためにWebサイトにアクセスするためにも一般的に使用され、ビットコインマイニングにもよく使用されます。
6つの悪名高いボットネット 多くのボットネットが歴史を通じて出現しましたが、それらのいくつかは他のものよりも影響力がありました。これが6つの非常に有名なボットネットです。
ベーグル
Bagleは、大規模なスパムキャンペーンに使用された世界初のボットネットの1つです。 2004年に登場し、主にMicrosoftWindowsコンピューターデバイスで構成されていました。 Bagleは、200,000台以上のコンピューターに感染したワームであり、このウイルスは世界中のすべてのスパムの10%以上を送信すると推定されています。
Conficker
Confickerは、2008年後半に最初に出現し、ネットワークセキュリティ担当者を悩ませてきた悪名高いコンピュータワームです。
Confickerの最初のバージョンは2008年11月に登場し、ネットワーク共有や感染したUSBドライブを介して急速に広まりました。あるカウントでは、1100万台ものコンピューターに感染しています。これにより、Confickerは巨大なボットネットになり、攻撃者がそれを使用して攻撃したい場合、巨大なDDoS攻撃によって多くの損害を引き起こす可能性があります。ただし、攻撃は行われず、Confickerの背後にいるクリエイターの真意は謎のままであり、どのグループに属しているのかは明確ではありませんでした。
Confickerのクリーンアップのコストは$90億と見積もられており、驚くべきことに、Confickerに感染したコンピューターは、ほぼ10年前にリリースされたにもかかわらず、まだ存在しています。
ZeroAccess
最大の既知のボットネットの1つであるZeroAccessボットネットは、2013年に、200万台近くのコンピューターを備えた軍用ボットネットとして登場しました。 P2P + C&Cサーバーモデルを使用しているため、ボットネットに取り組むのは困難ですが、ノートンライフロックの研究者は2013年にボットネットを調査し、50万近くのボットデバイスにサンドボックス(ブラウザサンドボックス)があることを発見しました。
ZeroAccessは、主にクリック詐欺やビットコインマイニングに使用されており、ボットネットのサイズを考えると、その活動の最盛期には、背後にいるコントローラーに多大な富をもたらしたと考えられています。
Gameover Zeus
Gameover Zeusは、主に人々の銀行情報を盗むために使用される巨大なボットネットです。ボットネットには、最大100万台のコンピューターデバイスがあります。ボットネットは$1億以上を盗むために使用されたと推定されています。
Gameover Zeusは、Trojan.ZBotマルウェアの亜種であり、現在もアクティブです。 Gameover Zeusは、元のマルウェアの洗練された亜種であり、数千人の被害者のオンラインバンキングセッションを乗っ取って大規模な金融詐欺を可能にします。現在の多くの電子メールマルウェアキャンペーンと同様に、通常は送信電子メールを介して送信されます。感染したユーザーが銀行のサイトにアクセスすると、マルウェアはセッションを傍受し、被害者の情報にアクセスしてお金を盗みます。
Gameover Zeusは2014年に削除されましたが、Zeusマルウェアの多くの亜種が現在もアクティブになっています。
Necurs
Necursは、現在最もアクティブで有名なボットネットの1つです。 2016年には、悪意のある電子メールの最大のディストリビューターの1つであり、Lockyランサムウェアキャンペーンも大規模に宣伝しました。しかし、2016年12月24日に不思議なことに運用を停止し、3か月近く非アクティブのままでした。この期間中に、Symantec(サイバーセキュリティ機関)によって検出された悪意のある電子メールの割合は劇的に減少しました。
活動は3月20日に再開され、ノートンライフロックはその日だけで200万近くの悪意のある電子メールをブロックしました。ただし、Necursは復帰以来、悪意のある電子メールキャンペーンの送信に重点を置いておらず、「ポンプアンドダンプ」の株式スパムキャンペーンを送信してきました。この種のキャンペーンは12月に消滅する前に送信を開始し、帰国後も継続して取り組んでいます。
株式スパムを送信する目的は、被害者に同じ会社の株式を購入するように促すことによって、電子メール送信者の手にある株式の価格を引き上げることです。被害者の株の購入によって株価が押し上げられると、スパマーはすべての株を売ります。これにより株価が大幅に下落し、被害者が株を売る可能性が低くなります。
みらい
ほとんどの人は、2016年の最後の数か月に世界中のネットワークを破壊し、さまざまなIoTデバイスを使用して世界中のさまざまなターゲットにDDoS攻撃を仕掛けるMiraiに精通していると思われます。
9月のMiraiのDDoS攻撃の最初の標的は、ホスティングプロバイダーのOVHとセキュリティの専門家であるBrianKrebsのWebサイトでした。これらは大規模なDDoS攻撃であり、当時はそれぞれ1Tbpsと620Gbpsで過去最大でした。 9月下旬、MiraiはオンラインハッキングコミュニティHackForumsのアップデートをリリースし、3週間後、DNSプロバイダーのDynに対して大規模なDDoS攻撃を開始し、Netflix、Twitter、PayPalなどの有名なWebサイトへのユーザーアクセスをブロックしました。
11月下旬、Miraiネットワークの亜種がドイツのルーターの脆弱性を悪用してインターネットにアクセスし、100万人近くの家庭用インターネットユーザーを攻撃しました。同じ脆弱性がアイルランドの家庭用インターネットユーザーのルーターにも影響を及ぼしました。
Miraiボットネットは主に感染したルーターとセキュリティカメラで構成されており、この事件は、セキュリティに関してIoTデバイスが非常に緩いことを浮き彫りにしています。
5.概要
ボットネットは長い間存在しており、テクノロジーが進化し続けるにつれて成長してきました。 IoTデバイスの成長とインターネットに関連するデバイスの数の増加に伴い、ボットネット開発の話はまだ終わっていないかもしれません。
関連 
日本語 
English 
Français 
Deutsch (Sie) 
Italiano 
Polski 
Português 
ไทย 
Bahasa Indonesia 
Español
ボットネットとは何ですか?それはどのように機能しますか?最も悪名高い6つのボットネット
サイバー攻撃の一般的で効果的な方法として、ボットネットは今日のインターネットセキュリティに大きな脅威をもたらします。この記事では、ボットネットの概念と制御方法、および6つの悪名高いボットネットを紹介します。この記事を読んだ後、ボットネットについて予備的に理解できることを願っています。
ボットネットとは何ですか?
ボットネットは、1つ以上の伝播手段を使用して多数のホストをボットプログラム(ゾンビ)ウイルスに感染させるネットワークであり、コントローラーと感染したホストの間で1対多で制御できるネットワークを作成します。
これらは「ボット軍」と呼ばれることもあり、スパムの送信や分散型サービス拒否(DDoS)攻撃の実行など、さまざまな活動にサイバー犯罪者が使用する可能性があります。
ラップトップ、デスクトップ、スマートフォン、DVRプレーヤー、ワイヤレスルーター、その他のモノのインターネット(IoT)デバイスなど、インターネットに接続されたデバイスをボットネットに追加できます。
ボットネットは、コマンドアンドコントロール(C&C)サーバーによって制御されます。このサーバーは、ボットネット内のボットネットにコマンドを送信したり、ボットネットによって収集された情報を受信したりできるハッカーまたはハッカーグループによって制御されるコンピューターです。ボットネットのコントローラーは、ボットボットまたはボットマスターと呼ばれます。
IoT(Internet of Things)の出現により、ボットネットにさらに多くのデバイスを追加できるようになりました。また、多くのIoTデバイスは現在、十分に保護されておらず、ほとんどの場合、更新が困難なデフォルトのパスワードとファームウェアに依存していることに注意してください。これは、ボットネットのサイズが将来簡単に拡大する可能性があることを意味します。
ボットネットはどのようにコンピュータを制御しますか
ボットネットは、ボットマスターコントローラーによっていくつかの異なる方法で制御できます。
従来、ボットネットはC&Cサーバーによって制御されていました。この場合、ボットデバイスは所定の場所に戻り、サーバーからのコマンドを待ちます。ボットコントローラーはコマンドをサーバーに送信し、サーバーはコマンドをボットネットワークに転送し、収集された結果または情報はボットデバイスによってその中央サーバーに返送されます。
ただし、集中型サーバーを使用すると、ボットネットが攻撃や妨害行為に対してより脆弱になります。このため、現在、多くのボットネットコントローラーは主にピアツーピア(P2P)モデルを使用しています。
P2Pボットネットでは、相互接続されたボットデバイスは中央サーバーに報告せずに情報を共有します。つまり、感染したボットデバイスはコマンドの送信と受信の両方を行います。次に、これらのボットデバイスは、ランダムなIPアドレスをプローブして、他の感染したデバイスに接続します。連絡を受けると、ボットデバイスはソフトウェアバージョンや既知のデバイスのリストなどの情報で応答します。連絡先のボットに新しいソフトウェアバージョンがある場合、他のボットは自動的にそのバージョンに更新されます。このアプローチにより、中央サーバーに接続することなくボットネットを拡張して最新の状態に保つことができるため、法執行機関やその他の機関がボットネットを停止することがより困難になります。
ボットネットの使用
ボットネットの最も一般的な2つの用途は、スパムキャンペーンを送信することと、分散型サービス拒否(DDoS)攻撃を実行することです。
ボットデバイスを使用して電子メールマルウェアを送信することもできます。感染したコンピューターから情報を収集するなど、マルウェアの種類によって標的が異なる場合があります。これには、パスワード、クレジットカード情報、および闇市場で販売できるその他の情報が含まれる場合があります。企業ネットワーク内のデバイスがボットデバイスになると、機密性の高い企業情報が盗まれるリスクもあります。
ボットデバイスは、クリック詐欺、偽のトラフィックを作成し、ボットデバイスの所有者の収益を生み出すためにWebサイトにアクセスするためにも一般的に使用され、ビットコインマイニングにもよく使用されます。
6つの悪名高いボットネット
多くのボットネットが歴史を通じて出現しましたが、それらのいくつかは他のものよりも影響力がありました。これが6つの非常に有名なボットネットです。
ベーグル
Bagleは、大規模なスパムキャンペーンに使用された世界初のボットネットの1つです。 2004年に登場し、主にMicrosoftWindowsコンピューターデバイスで構成されていました。 Bagleは、200,000台以上のコンピューターに感染したワームであり、このウイルスは世界中のすべてのスパムの10%以上を送信すると推定されています。
Conficker
Confickerは、2008年後半に最初に出現し、ネットワークセキュリティ担当者を悩ませてきた悪名高いコンピュータワームです。
Confickerの最初のバージョンは2008年11月に登場し、ネットワーク共有や感染したUSBドライブを介して急速に広まりました。あるカウントでは、1100万台ものコンピューターに感染しています。これにより、Confickerは巨大なボットネットになり、攻撃者がそれを使用して攻撃したい場合、巨大なDDoS攻撃によって多くの損害を引き起こす可能性があります。ただし、攻撃は行われず、Confickerの背後にいるクリエイターの真意は謎のままであり、どのグループに属しているのかは明確ではありませんでした。
Confickerのクリーンアップのコストは$90億と見積もられており、驚くべきことに、Confickerに感染したコンピューターは、ほぼ10年前にリリースされたにもかかわらず、まだ存在しています。
ZeroAccess
最大の既知のボットネットの1つであるZeroAccessボットネットは、2013年に、200万台近くのコンピューターを備えた軍用ボットネットとして登場しました。 P2P + C&Cサーバーモデルを使用しているため、ボットネットに取り組むのは困難ですが、ノートンライフロックの研究者は2013年にボットネットを調査し、50万近くのボットデバイスにサンドボックス(ブラウザサンドボックス)があることを発見しました。
ZeroAccessは、主にクリック詐欺やビットコインマイニングに使用されており、ボットネットのサイズを考えると、その活動の最盛期には、背後にいるコントローラーに多大な富をもたらしたと考えられています。
Gameover Zeus
Gameover Zeusは、主に人々の銀行情報を盗むために使用される巨大なボットネットです。ボットネットには、最大100万台のコンピューターデバイスがあります。ボットネットは$1億以上を盗むために使用されたと推定されています。
Gameover Zeusは、Trojan.ZBotマルウェアの亜種であり、現在もアクティブです。 Gameover Zeusは、元のマルウェアの洗練された亜種であり、数千人の被害者のオンラインバンキングセッションを乗っ取って大規模な金融詐欺を可能にします。現在の多くの電子メールマルウェアキャンペーンと同様に、通常は送信電子メールを介して送信されます。感染したユーザーが銀行のサイトにアクセスすると、マルウェアはセッションを傍受し、被害者の情報にアクセスしてお金を盗みます。
Gameover Zeusは2014年に削除されましたが、Zeusマルウェアの多くの亜種が現在もアクティブになっています。
Necurs
Necursは、現在最もアクティブで有名なボットネットの1つです。 2016年には、悪意のある電子メールの最大のディストリビューターの1つであり、Lockyランサムウェアキャンペーンも大規模に宣伝しました。しかし、2016年12月24日に不思議なことに運用を停止し、3か月近く非アクティブのままでした。この期間中に、Symantec(サイバーセキュリティ機関)によって検出された悪意のある電子メールの割合は劇的に減少しました。
活動は3月20日に再開され、ノートンライフロックはその日だけで200万近くの悪意のある電子メールをブロックしました。ただし、Necursは復帰以来、悪意のある電子メールキャンペーンの送信に重点を置いておらず、「ポンプアンドダンプ」の株式スパムキャンペーンを送信してきました。この種のキャンペーンは12月に消滅する前に送信を開始し、帰国後も継続して取り組んでいます。
株式スパムを送信する目的は、被害者に同じ会社の株式を購入するように促すことによって、電子メール送信者の手にある株式の価格を引き上げることです。被害者の株の購入によって株価が押し上げられると、スパマーはすべての株を売ります。これにより株価が大幅に下落し、被害者が株を売る可能性が低くなります。
みらい
ほとんどの人は、2016年の最後の数か月に世界中のネットワークを破壊し、さまざまなIoTデバイスを使用して世界中のさまざまなターゲットにDDoS攻撃を仕掛けるMiraiに精通していると思われます。
9月のMiraiのDDoS攻撃の最初の標的は、ホスティングプロバイダーのOVHとセキュリティの専門家であるBrianKrebsのWebサイトでした。これらは大規模なDDoS攻撃であり、当時はそれぞれ1Tbpsと620Gbpsで過去最大でした。 9月下旬、MiraiはオンラインハッキングコミュニティHackForumsのアップデートをリリースし、3週間後、DNSプロバイダーのDynに対して大規模なDDoS攻撃を開始し、Netflix、Twitter、PayPalなどの有名なWebサイトへのユーザーアクセスをブロックしました。
11月下旬、Miraiネットワークの亜種がドイツのルーターの脆弱性を悪用してインターネットにアクセスし、100万人近くの家庭用インターネットユーザーを攻撃しました。同じ脆弱性がアイルランドの家庭用インターネットユーザーのルーターにも影響を及ぼしました。
Miraiボットネットは主に感染したルーターとセキュリティカメラで構成されており、この事件は、セキュリティに関してIoTデバイスが非常に緩いことを浮き彫りにしています。
5.概要
ボットネットは長い間存在しており、テクノロジーが進化し続けるにつれて成長してきました。 IoTデバイスの成長とインターネットに関連するデバイスの数の増加に伴い、ボットネット開発の話はまだ終わっていないかもしれません。
関連記事:
関連