“ボット“について詳しく知りたいと思って、この記事を見に来ていただいたと思います。
ボットには普通のボットと悪いボットがあります。本記事ではボット全体について、特に悪いボットの特徴、6つの感染経路、ボットに感染したときの6つの被害について事例を織り交ぜながら解説します。
最後に対策、駆除方法も書いていますので、興味ある部分を読んでいただき、セキュリティ リテラシーをさらに高め、知識幅を広げていただければ幸いです。
1.ボットとは?
ボット(Bot)という言葉はロボット(Robot)から来ています。ボットにも大きく2種類あります。
1-1.普通のボット
普通のボットはインターネット上で決められた作業を自動的に行うプログラムです。
具体的にプログラムされた作業は以下のものがあります。
- 検索エンジンのクローラ
- Twitterに自動的につぶやきを行うボット
- チャットにて自動的に会話するボット
- ネットワークゲームにて自動的にプレイするボット
Twitterで自動的につぶやくボット
1-2.ウイルス性のあるボット
悪質なボットはマルウェアの一種でパソコンに侵入し、外部からパソコン、スマートフォンを遠隔操作します。サイバー犯罪者はパソコン、スマートフォンを操り、悪質なことを行います。
ボットの位置づけですが、マルウェアの中に含まれます。マルウェアの中にもトロイの木馬とワームがあります。各ボットの種類によりますが、このどちらかに分類されます。今はほとんどがトロイの木馬です。
マルウェアについて知りたい方はマルウェアとウイルスの違い|端末保護の基本をシンプルに知るをご覧ください。
本記事では2つ目のサイバー犯罪者たちが利用する悪質なボットについて解説します。
2.ウイルス性のある悪質なボットの特徴とは
悪質なボットの特徴は、感染したコンピューターが犯罪者の手足となり、知らないうちに犯罪に加担させられてしまうことです。
具体的に書きますと、まずボットがパソコンに侵入したら、そのパソコンは外部から遠隔操作されます。ボットに侵入されたパソコンを「ゾンビPC」、「ゾンビマシン」と呼びます。
次に、「ゾンビPC」がたくさん集まったネットワークをボットネットといい、外部からの指令によっていっせいに操られます。
ボットネットの司令塔となるサーバーをC&C(コマンド・アンド・コントロール)サーバーと言います。
この司令塔C&Cサーバーの命令で感染している数多くのゾンビPCがいっせいに動きます。小さいPCをたくさん集めて、まるでスーパーコンピューターを持ったようなパワーを犯罪者は持ってしまうのです。具体的なボットネットの規模は数十万台から大きいもので190万台以上のものがありました。
何十万台のコンピューターを束ねたパワーを利用して、犯罪者たちは大量のコンピューターだからこそできるスパムメールの大量送信、DDos攻撃、広告詐欺、仮想通貨の採掘を行います。
さらに手足となったコンピューターにオンラインバンキングを狙った金融詐欺、司令塔からゾンビPCに対して、さらにマルウェアを送り込むこともできます。
アンダーグラウンドでは構築済みのボットネットのレンタルや、ボットネット自体の売買が行われています。
犯罪者にあなたのPCを握られてしまうのがボットネットの怖いところです。
3.6つのボット感染経路
ボットはパソコン、スマートフォンに侵入すると静かに潜んでいます。そしてC&Cサーバーの指令をじっと待っています。では、ボットがパソコン、スマートフォンに侵入する6つの経路を紹介します
3-1.迷惑メールの中のリンクから感染
送られてきた迷惑メール中のリンク先に、アクセスするとマルウェアに感染する感染経路です。
事例としては、Trojan.Pandexというスパムボットに感染したコンピューターが送るメールが以下です。このメール内のリンクにクリックすると、Webページにアクセスし、そこでマルウェアに感染してしまいます。
リンク先にマルウェアを仕込んでいるメール
3-2.ショートメッセージ(SMS※1)の中にあるリンクをクリックして感染
AndroidスマートフォンのSMSから感染する感染経路です。
事例として、 Android.PikspamというボットはSMSに人気ゲームの無料版のお知らせ、賞金獲得の偽メッセージを送り、メッセージにあるリンクをクリックすると、ボットが仕込まれたアプリがダウンロードされるという手口を使って感染させました。
やっかいなのは、アプリをインストールしたと思ったらボットも知らないうちにインストールされてしまうことです。
ボット Android.Pikspamが仕込まれたアプリのアイコン
※1:SMSは携帯電話に入っているショートメールのこと
3-3.非公式アプリマーケットにあるアプリからの感染
アプリをダウンロードできるマーケットからボットが仕込まれたアプリをダウンロードして感染するケースもあります。
事例として、中国で最大100万台のデバイスに広がったモバイルボットネット“MDK ボットネット”です。中国のGoogle Playではない非公式なアプリマーケットで見つかっています。人気ゲームなどの正規アプリにマルウェアを入れて、再パッケージをして非公式アプリマーケットでダウンロードを誘うという手口を使っていました。
仮に有料アプリが無料だからといって公式アプリマーケット以外のサイトからダウンロード・インストールすることはあなたのスマートフォンを危険にさらすことになります。
3-4.Webページを介してファイルをダウンロードしたときに感染
インターネット上でシェアされているファイルをダウンロードすると感染する感染経路です。
事例としては、中東で使われていたnjRATというボットがありました。ファイル共有サイトge.tt にボットを置いて感染させたケースがあります。犯罪者はスクリーンセーバーとボットを併せて圧縮したファイルをサイトにおきます。
ユーザーがダウンロードして、ファイルを解凍すると感染するという手口です。
3-5.マルウェアに感染したWebサイトにアクセスすることで感染
本当に知らないうちに感染してしまうケースです。
感染の方法を順を追って説明します。
- 犯罪者は脆弱性のあるWebサイトに侵入し、ボットをWebサイトに埋め込みます
- 脆弱性のあるパソコンでボットが埋め込まれたWebサイトにアクセスするとパソコンにボットが侵入します
WindowsとMacの具体例を2つ紹介します。
2012年に多くのMacに感染したボットOSX.Flashbackは以下の2段階で多くのMacに感染していきました。
- 犯罪者はWordpress と Joomla を使う脆弱な Web サイトにボットを埋め込みました
- 脆弱性のあるJavaを使っているMacユーザーがボットが埋め込まれたWebサイトにアクセスして感染しました
当時、Javaの脆弱性が分かってからパッチが出るまで6週間の時間がありました。
その間に犯罪者は大量のMacにボットを感染させたのです。
2つ目の事例は、2009年に活動停止したボットネットBamitalは主にアダルトサイトにアクセスした人たちのコンピューターにボットを感染させていました。ボットを埋め込んだサイト数は35を超えていました。
この事例のように、アダルトサイトなどが感染経路となっていましたが、今日の犯罪者たちは脆弱性のある大手企業Webサイトにマルウェア、ボットを埋め込むことを狙っています。その方がWebサイトの訪問者が多いのでマルウェアが早く拡がるからです。
参考記事:OSX.Flashback.K の背後にある金銭的な動機
3-6. P2Pネットワークにあるファイルをダウンロードして感染
ピアツーピア(P2P)ネットワークにあるボット マルウェアを置き、それをダウンロードしたユーザーが感染します。
事例としては、2013年2月に活動停止したボットネットBamitalが感染経路の1つとしてP2Pネットワークを使っていました。
参考記事:Bamital ボットネットの終焉
4.ボットに感染した場合の6つの被害
ボットに感染した被害としてはじめに伝えたいことは、感染したパソコン、スマートフォンが犯罪者の意のままに操られてしまうということです。
言い換えると、感染コンピューターの持ち主の知らないうちに、コンピューターのパワー、通信、電源を犯罪者に使われてしまうのです。
さらにひどいことは、感染したコンピューターの持ち主が知らぬ間に犯罪に加担しているということです。
ここでは、犯罪者たちがボットネットを使って何をするのかを紹介します。
4-1.DDos攻撃に加担させられる
DDos攻撃とは、標的とするサーバー・Webサイトに対して、たくさんのコンピューターから一斉にアクセスをして、サーバー・Webサイトがサービスをすることを妨害する攻撃です。
ボットネットを利用したDDos攻撃を説明しますと、ボットに感染したコンピューターたちはC&Cサーバーの指令によって、いっせいに標的のコンピューターにアクセスをすることでDDos攻撃ができます。
今では、大規模なボットネットでなく、小規模なボットネットからのアクセスを増幅することでDDos攻撃ができます。DDos攻撃も進化していると言えます。
さらに困ったことにアンダーグラウンドのフォーラムでは、DDos攻撃を行うサービスが$2~$500で販売されている事実があります。
アンダーグラインドマーケットで販売されているDDos攻撃のメニューと価格
参考記事:短時間でも強力な分散サービス拒否(DDoS)攻撃
4-2.迷惑メールの送信元にさせられる
ボットに感染したコンピューターはC&Cサーバーの指令により、迷惑メールを送信させられます。
さらに、コンピューターに登録しているメールアドレスをC&Cサーバーに吸い上げられるケースもあるため、知らないうちに迷惑メールを送信していると同時に、自分の連絡先情報も取られてしまうというひどい手口です。
事例としては、2013年6月に活動を再開したWaledacは1日に最大で2000通もの迷惑メールを送るスパムボットです。
Waledacが最大1日2000通も送っていた迷惑メール
Waledacは迷惑メールを送るだけでなく、別のマルウェアも拡散していました。
サイバー犯罪者も迷惑メールを送るボットを入り口に利用し、複数のマルウェアを使って、さらに悪事を働くケースもあります。
参考記事:Waledac 再び: Trojan.Rloader.B
4-3. 広告を勝手にクリックする
C&Cサーバーの指令でオンライン広告バナーなどを感染したパソコンからクリックをします。
広告をクリックすることにより広告の掲載サイトには報酬が発生します。
広告主には意味のないクリックがたくさん増え、本来の目的の見込み客の集客ではなく、広告費だけを支払うはめになります。
事例としては、2013年2月に活動停止したボットネットBamitalは6週間の間に180万以上のサーバーと通信をし、1日に平均300万クリックをしていたことが確認されました。
2つ目の事例としては、2012年にMacに大量感染したOSX.Flashbackは3週間で1,000 万回広告を表示し、約40万回の広告クリックを得ました。 3週間の広告クリック数から犯罪者は 14,000ドルを稼いだことになります。
この手口もまさにボットネットの規模を利用した詐欺手口です。
参考記事:Bamital ボットネットの終焉
OSX.Flashback – ボットネットが利益を上げるための手口
4-4.感染したデバイスに広告を表示させる
ボットに感染したパソコン、スマートフォンに悪質な広告を表示させます。
事例としては、2013年6月に活動を再開したWaledacは、感染したパソコンに、さらにマルウェアを感染させます。
そのマルウェアは、感染したコンピューターの情報をC&Cサーバーに送信して、侵入したコンピューターを登録します。それに加えて、検索エンジンの検索結果に悪質なポップアップ広告を表示しクリックさせるクリック詐欺を実施します。
ポップアップ広告の例
参考記事:Waledac 再び: Trojan.Rloader.B
4-5.脆弱性のあるWebサイトの調査に加担
犯罪者が侵入して、個人情報、機密情報などを盗み出すために、脆弱性のあるWebサイトを探します。
脆弱性のあるWebサイトを探すためにボットネットを利用する犯罪者がいます。
具体的なやり方としては、下の2ステップです。
- ボットに感染したコンピューターにあらゆるWebサイトにアクセスさせ、Webサイトに脆弱性が無いかを調べさせる
- 脆弱性のあるWebサイトが見つかると、ボットは中央のC&Cサイバーに報告をします
事例としては、2014年8月にロシアのサイバー犯罪グループが12億件のユーザー名とパスワードを盗んだNEWSがありましたが、このサイバー犯罪グループが、このようにボットネットを利用していました。
脆弱性が見つかったWebサイトは後日、攻撃を仕掛けられ、データベースからユーザー情報を盗まれました。
参考記事:ログイン情報の大量盗難によって注目される新たなパスワードシステム
4-6.ビットコインの採掘のためにパソコンを使われる
ビットコインはインターネット上の仮想通貨です。ビットコインを入手する方法はの1つに採掘(マイニング)があります。
採掘とは自分のコンピューターに処理をさせてビットコインを入手する方法です。
しかし、ビットコインの採掘の難易度が非常に高く、一般消費者が手に入るデスクトップコンピュータ1台では全くマイニングできない(稼げない)のが現状です。
犯罪者はボットネットを使うことで、ゾンビPC全てのパワーを使ってビットコインの採掘をすることができます。
事例としては、ボットネットZeroAccessは2013年8月の時点で190万台以上のコンピューターのネットワークを持っていました。一度に全てのコンピューターが利用できるとは限りませんが、これらのコンピューターを使ってビットコインの採掘をやらせることをしていました。
犯罪者はボットに感染した他人のコンピューターのパワーと電気を使って採掘をしていたのです。
参考記事:ZeroAccess ボットネットの解析
5.対策および駆除方法
5-1. 体験版でウイルスチェック
最初にやることは無料体験版でも良いので有名な有料のセキュリティソフトを入れてチェックすることです。
なぜならば、Windows Defenderをはじめとする無料のセキュリティソフトは最低限の機能しか搭載されていないものもあり、状況によっては有料のものでしか駆除できないものがある可能性があるからです。
実際、仮に駆除できなかったとしても、(ウイルスバスター以外は)それぞれ最適化されたファイアウォールを搭載しており、Windowsの内部から外部に向けての通信を監視しているため、無料ソフトと比べて大切な情報が盗まれる可能性は低いと言えます。(ウイルスバスターはWindows標準のファイアウォールをチューンすることでほぼ同様の機能を実現しています)
以下が無料体験版を用意している代表的なセキュリティソフト一覧です。これらの有料版セキュリティソフトは期限内であればどの製品も有料版と同様の機能が無料で使用できます。体験版使用にクレジットカード番号などは不要です。(ノートン以外の製品に関してはそれぞれの会社の手順に従ってください)
| セキュリティソフト名 | 体験版日数 |
|---|---|
| ノートン セキュリティ | 最大60日間 |
| カスペルスキー インターネットセキュリティ | 30日間 |
| マカフィー インターネットセキュリティ | 30日間 |
| ウイルスバスター クラウド | 30日間 |
5-2. 感染のリスクを軽減する方法
- 評価の高いセキュリティソフトウェアをインストールする
- OSと使用しているソフトウェアの設定を自動更新にして、常に最新状態にしておく
- ブラウザのセキュリティレベルを高く設定する
- 送信元が不明な添付ファイルは決して開かない
まとめ
ボットに感染してしまうと、自分のパソコン、スマートフォンが犯罪者の手足になってしまうのがボットの怖いところです。
さらに、自分が被害者であり、加害者になってしまいます。
セキュリティソフトを利用することでボットからあなたのコンピューターを守ることができます。
フリーのセキュリティソフトでも良いのですが、防ぎきれる保証はありません。
有料版のセキュリティソフトにはフリーのセキュリティソフトにはないファイアウオールがついている物が多いです。
ファイアウオールがあることで、ボットが仮に侵入したとしても、ボットが外部と通信することを防いでくれます。
セキュリティソフトのファイアウオールは正規のアプリケーションとボットなどのマルウェアがどのような通信をするかを把握しているため、ユーザーが設定をしなくても自動的に通信を守ってくれるセキュリティソフトが多いです。
皆さんにインターネットを利用して、可能性を無限大に広げていただければ本当に嬉しいです。
