前回の記事で述べたように、最近のインターネットにおける攻撃は経済的な目的に特化し、その手口も高度化している。この攻撃の変化は、ボットネットあるいはボットネットの技術を応用した手法が基盤となって発生している。マイクロソフトが遮断の対策をとったWaledacもボットネットの1つである。今回は、ボットネットとはどのようなものなのかを見ていこう。
ボットネットとは?
ボットネット自体は何でもできる基盤といえる位置づけである。そのため、なかなか理解しにくい面がある。まずはサイバークリーンセンターで公表している資料を基に、ボットネットは何かを見ていく。
図4は、サイバークリーンセンターが「ボットネットの脅威」として、ボットネットを解説しているものである。
ボットネットは、ユーザーのPCなどに感染したボットと呼ばれるマルウエアが、指令コンピューター・命令発信コンピューター(C&C: Command and Control Server)を通じて指示を受け、「迷惑メールの送信」、「ホームーページ攻撃(DDoS攻撃)」、「感染活動」、「個人情報漏洩」などの処理を実行する。何千台、何万台というボットに感染したPCをまとめて操作し、大量の活動を実行することで、アンダーグラウンドのビジネスとして経済的な利益を上げるために利用される。ボットネットの中には、100万台を超えるボットで構成されるものもある。
ボットは、ソースコードや開発環境として流通しているものが多い。そのため、機能の追加が容易であることに加えて、アンチウイルスソフトによる検出を巧妙に避けて感染する。また、目立たないように活動をすることが多いから、感染しても発見することはなかなか困難である。
初期のボットはC&Cとの通信にIRCを使うものが多かったが、最近はHTTPを使うものが増えている。これは、IRCのポートがルーターやファイアウォールでブロックされていることが多く、HTTPのポートが開いていることが一つの理由と考えられている。
