ボットはネットワーク経由で外部からの指令を受け、攻撃者にリモートで操作される不正プログラムだ。厳密な定義はまだないのだが、感染の手口や形態から見ると、「ワーム」と「トロイの木馬」の特徴を兼ね備えている(図1)。

図1●ほかのウイルスとどこが違う?
図1●ほかのウイルスとどこが違う?
「リモート操作機能」と「自己複製能力」の有無から考えると、ボットはワームとトロイの木馬の複合型と見なせる。なお、他のファイルに寄生し、自己複製能力がないのが狭義のウイルス。独立したプログラムで自己複製能力があるのがワーム、ないのがトロイの木馬と分類するのが一般的。こちらの分け方だとボットは「自己複製能力を持つトロイの木馬」といえる

 例えば、OSなどのセキュリティホールやファイル共有機能などを悪用してネットワークからパソコンに侵入し、自分自身を複製して感染の拡大を図る点ではワームと同じ。トロイの木馬のように、ユーザーに電子メールの添付ファイルやWebサイト上の悪質なファイルをクリックさせて感染することもある。感染すると、狭義のウイルス*と違ってほかのファイルには寄生せず、独立したプログラムとして活動する。

 個人情報を盗んで外部に送信するのは「スパイウエア」、キーボードの操作履歴を取得するのは「キーロガー」と呼ぶように、機能で不正プログラムを分類する方法もある。

 しかし、ボットは従来の不正プログラムの備える機能を幅広く網羅しており、時に「最初は機能が少なくても、後から追加で機能をダウンロードする」(トレンドマイクロサポートサービス本部アンチ・ウイルスセンターシニアアンチウイルスサポートエンジニア岡本勝之氏)。そのため、機能による定義付けは難しい(図2)。

図2●その気になれば何でもできる?
図2●その気になれば何でもできる?
ボットは非常に多機能。ボットネットを継続的に運用するための保守管理機能もあり、中継サーバーが使えなくなると、別のサーバーに接続し直して動作を続ける。感染パソコンのうち回線環境が良好で高速に通信できる1台を中継サーバーに昇格させるような仕組みもある
[画像のクリックで拡大表示]

 パソコンがボットに感染すると、攻撃者がリモート操作用に準備した中継サーバーに接続する。攻撃者はチャットシステムや独自の通信手段などを利用して、感染したパソコンに指令。リモート操作が可能となった多数の感染パソコンが、ボットネットとなってインターネットへの攻撃を展開する(図3)。

図3●感染パソコンを組織化した「ボットネット」の基本的な仕組み
図3●感染パソコンを組織化した「ボットネット」の基本的な仕組み
1人の攻撃者が複数の感染パソコンに同時に指令を出せる。指令にはチャットシステムやピア・ツー・ピアソフト、独自の通信手段などを使用。1つのボットネットの規模は数百~数万台との説もある
[画像のクリックで拡大表示]

挙動はかなり静か

 これだけ大規模に活動すれば、ユーザーに気付かれそうなものだが、実際のボットの挙動はひそやか。今までの不正プログラムのようにデータを消したり、Windowsの再起動を繰り返したりする派手な例は少ない(図4)。その狙いは、金銭を得るための犯罪に使えるインフラの維持にある。気付かれてしまうと、ボットが駆除されて、インフラを維持できなくなってしまうわけだ。

図4●「こっそり静かに」がボットの特徴
図4●「こっそり静かに」がボットの特徴
昔のウイルスは感染が分かりやすいものが多かったが、ボットはひそかに活動するため、自覚症状が出にくい。また亜種が多く、攻撃者が必要に応じて感染パソコンの数を調節するため、ウイルス対策ソフトメーカーがパターンファイル用のサンプルを入手しにくい
[画像のクリックで拡大表示]

 同じ理由から、ボットはウイルス対策ソフトに検出されにくいように作られている。ボットには非常に多くの亜種があり、対策ソフトのパターンファイル(定義ファイル)作成が間に合わないことがあるのだ。

 パターンファイルは、不正プログラムのいわば“指名手配書”で、収集したサンプルを分析して作成する。対策ソフトはこの“手配書”を基に不正プログラムを検出する。Telecom-ISAC Japanなどが実施した実験では、ボットのうち数%が最新(当時)のパターンファイルでも検出できなかった(図5)。

図5●対策ソフトで検出できない未知のボットも数多い
図5●対策ソフトで検出できない未知のボットも数多い
修正プログラムを適用していない無防備なWindows 2000のパソコンをインターネットに接続し、侵入してくる不正プログラムを収集(うち件数で約80%がボット)。そのうち件数で約10%がウイルス対策ソフトで検知できない未知の不正プログラムだった

 これほど亜種が多いのは、ボットを簡単に変質させるパッカーと呼ばれる専用ツールがインターネット上に出回っているためだ(図6)。

図6●ツールで簡単に加工されて対策ソフトをくぐり抜ける
図6●ツールで簡単に加工されて対策ソフトをくぐり抜ける
インターネット上には「パッカー」と呼ばれる専用ツールが何種類も出回っている。パッカーでボットを加工して、亜種を増やしたり、ウイルス対策ソフトの検出を避けたりする
[画像のクリックで拡大表示]

 次章からは実験時の画像を交えて、ボットの驚くべき多機能ぶりを具体的に見ていこう。