新種のコンピュータ・ウイルスのこと。感染後、悪意を持つ第三者がネットワーク越しに送ってくる命令を待ち、感染したコンピュータから情報を盗んだり、ほかのコンピュータを攻撃する。同じBOTに感染した複数のコンピュータが協調動作して、特定のコンピュータにDDoS攻撃をかけることもある。
あらかじめ決めたようにしか動かない従来のウイルスと違い、送り込む命令次第で、さまざまなことができる。第三者が感染先のコンピュータを「ロボット(robot)」のように操れることから、この名がついた。
BOTは2002年ごろに出現し、2004年後半から急速に増えた。トレンドマイクロが発表した2005年2月のウイルス感染被害レポートでは、報告件数の1位、2位、4位をBOTが占めた。
コンピュータに感染し、活動を開始したBOTは、まず外部からの命令を受け付ける「裏口」を開く。一例を挙げると、チャットの標準仕様である「IRC(インターネット・リレー・チャット)」のクライアントとして動作し、IRCサーバーの特定のチャネルに接続する。ハッカーはこのチャネル経由でBOTに命令を送る。ハッカーが1回命令を送れば、感染しているすべてのコンピュータのBOTに伝わる。
BOTの多くは管理者権限を持つプログラムとして動作する。このためOSにできることは、基本的に何でもできる。コンピュータに保存されたIDやパスワードを読み取って第三者に送信したり、第三者が指定したWebサイトを攻撃する機能は、ほとんどのBOTが備えている。
外部から別の悪質なプログラムをダウンロードして、勝手に実行する機能を備えるBOTも多い。この機能を使うと、感染先のコンピュータを、スパム・メールの送信元や不正ファイルの保存サーバーとして使える。ほかのコンピュータに侵入する踏み台にすることも可能だ。
こうしたBOTの流行に、ウイルス対策ソフト・ベンダーの対策は後手にまわっている。その理由の一つに、BOTの亜種が従来のウイルスよりケタ違いに多いことがある。
現在流行中のBOTの一つ、Agobotの亜種をトレンドマイクロのデータベースで調べると、266件も見つかる。2004年に大流行したNetskyウイルスでも、同データベースに登録された亜種は38件しかない。
BOTに亜種が多いのは、プログラムの基になるソースコードが公開されているため。最近では、特別な知識がなくても独自の亜種を作れるツールまで公開されており、このツールを使った新しい亜種がどんどん発生している。新しい亜種の発見に、ウイルス対策ソフト・ベンダーの対策が追いつかないのが現状だ。
現状のウイルス対策ソフトは、原理的に対策ソフト・ベンダーが把握していないウイルスは検知できない。ウイルス対策ソフトをインストールしていても、BOTには感染する危険性が高まっている。
本記事は日経コンピュータ2005年4月4日号に掲載したものです。
同誌ホームページには,主要記事の概要や最新号およびバックナンバーの目次などを掲載しておりますので,どうぞご利用ください。
・日経コンピュータ・ホームページ
・定期購読お申し込みや当該号のご購入
