小林:米国企業の情報システム部がいやがらせしてくるかなあ? まず事実関係を調べてみることにしようよ。

山下:では、オンライン・ショッピング・サイトの管理を委託している××社に確認を取ることにします。

 それから1時間後。

山下:××社から連絡がありました。外部へのネットワーク・アクセスを確認したところ、指摘されたサイトに対してアクセスがあったようです。ボット感染の可能性があるとのことで、まずは原因の特定を急がせています。

小林:ボット? ボットって何だ?

技術解説

 近年のインターネット・セキュリティ上の事件、事象(インシデント) は、数年前の「愉快犯」による「自己顕示欲」を満足させるための「いたずら」から、明確に金銭等を目的とした「犯罪行為」にシフトしている。このような「犯罪行為」のための「ツール」として使われているのがボットネットである。

 ボットネットとは、広義のウイルスであるボット(が感染したコンピュータ)によって形成される分散コンピュータ・システムである。また、1つのボットネットは数百から数万のボットから構成されている。

 この分散コンピュータ・システムは、HERDER(牧夫)またはMASTERと呼ばれる作業指示者の指示により、DDoS 攻撃やスパム・メールの大量送信、ボットが感染しているパソコンからの個人情報や認証情報等の機密情報の取得などの様々な活動を行なう。このHERDERからの指示にIRC(Internet Relay Chat)の技術を使うものとP2P(Peer to Peer)の技術を使うものを模式的に示したものが(図3)と(図4)である。

図3●IRCボットネットの模式図
図3●IRCボットネットの模式図
※制御の中心となるサーバーは一般的に
「Command and Control(C&C)サーバー」
と呼ばれている。
[画像のクリックで拡大表示]
図4●P2Pボットネットの模式図
図4●P2Pボットネットの模式図
[画像のクリックで拡大表示]

技術解説

 このような外部からの指示に指示に従って動作する様子がロボット(robot)に似ていることから「ボット(bot)」と呼ばれている。

 日本人の「ロボット」という言葉に対するイメージとは若干異なるが、そもそもの「ロボット(robot)」の語源とされるチェコ語の「robotnik=強制労働者」と「robota=(強制)労働」から考えれば、ボットによってボットネットに組み込まれて強制的に犯罪行為に加担させられてしまったコンピュータのイメージに合うのではないだろうか。

技術解説

 一般的にボットネットは、そのボットを作成した本人ではなく、犯罪行為を目的とした者が、使用料を支払って「借りて」使用される。つまり、そのような「ボットネット・レンタル」というビジネスがアンダーグラウンドで既に確立しているのである。

 ボットネットを使ってボットを容易に制御するための GUIプログラムも存在しており、ボットネットを使う犯罪者側に、特別な知識や技術が要らないという点も重要である。

押田 政人(おしだ まさひと)
セキュリティを専門とする IT ライター。翻訳にも携わる。最近手がけることが多いテーマは、セキュリティ対策に必要な企業内組織体制。長年セキュリティ組織のメンバーとして活躍してきた。そこで培った豊富な知見と人脈が強み。

<< その1 その3 >>