ボットネット
ボットネットの説明
ボットネット(Botnet)とは、サイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のゾンビコンピュータで構成されるネットワークのことである[1]。サイバー犯罪者の支配下に入ったコンピュータは、使用者本人の知らないところで犯罪者の片棒を担ぐ加害者(踏み台など)になりうる危険性がある[2]。ボットネットにおいて、指令者(ボットハーダーまたはボットマスターもしくは単にハーダーという)を特定することはボットネットの性質上、非常に困難である。そのため、近年では組織化された犯罪者集団がボットネットを構築し、それを利用して多額の金銭を得ている。
動作原理
通信手段にはIRCが良く使われる。ボットネットのノードは感染するとDDNSや応答の速いドメイン登録業者のサービスを使って登録されたドメイン名を使って、IRCサーバに接続する。IRCに接続したノードはそのIRCの然るべきチャンネルに参加し、自分の存在をチャンネルの参加者に伝え、命令を待つ一種のIRCボットとなる。命令はユーザーとして参加している指令者のIRCの発言として為され、命令を受け取ったノードはその命令を実行する。IRCサーバもまたコンピュータウイルスに感染したコンピュータによって構成されていることが多く、ある一つのIRCサーバが止められてもボットネット全体が止まることは無く、指令者の接続元を突き止めるのは困難になっている。このように、ノードの生成/消滅にかかわらず接続性を保証するためにDomain Name Systemに依存しているため、対応にはドメインの提供者の協力が重要になる。
類似の事例として、通信手段(Command and Control サーバと呼ばれる)に2ちゃんねるの掲示板を使った例も存在した。ある一定の規則でスレッドを立て、そのスレッドにエンコードされた書き込みを行うと、そのスレッドを監視している感染ノードが対象のスレッドを荒すと言うものである。[4](Sufiage.C)。また、twitterやインスタントメッセンジャーや他のピア・ツー・ピアファイル共有プロトコルを通信手段に使った例も存在する。
機能
ネットワークのメンテナンス
特定のサイトに置かれているファイルで自分自身を置き換えるアップデート機能、既知の様々な脆弱性を悪用して自分の拡散を試みる機能等が基本としてある。また、感染ノードから個人情報を吸い上げることも行われている。
分散サービス使用不能攻撃
ボットネットは大量のホストをある目的のために使用させることが可能である。最初によく使われたのはこの目的で、多くの著名サイトが犠牲となった。分散サービス使用不能攻撃は組織的な犯罪者が関わるようになった近年では、単なる業務妨害のみならず脅迫にも使われるようになったが、被害が露見しやすくネットワークの寿命を縮め、資金を受け取るときに足が付きやすいので、実行者側にはリスクが高い。
スパムメール
近年、スパムメールに対する意識が高まり、ブラックリストが普及したことや、送信などへの法的な罰則が強化されたため、身元を明かさずにメールを送信する需要が出て来た。世界中広く感染させることの可能なボットネットを通してメールを送信することによって、フィルタリングを抜けやすく、かつ犯人の足取りを掴みにくくすることが出来る。この様な方法で送られて来るメールの特徴としては、同種の内容を持ったメールについて、送信ホストが地域的な偏りが無く、デジタル加入者線や、ケーブルテレビやダイアルアップのネットワークと思われるようなDNSの逆引きがついていなかったり、ついていても機械的な命名規則でネットワークの特徴が含まれているようなFQDNになっていることが多いことが挙げられる。
違法サイトの構築
スパムメールによって宣伝しても宣伝先に足がつくと摘発される可能性がある。そのため、ボットネットによるサイト構築も行われている。多くはHTTPのリクエストを本当のコンテンツを持っているサイトに中継するリバースプロキシサーバと見られる。これによってフィッシングサイトや、勃起不全治療薬等の販売、住宅金融や出会い系サイトを構築している例が存在する。一つの手口では、ボットネットの幾つかのノードをDNSラウンドロビンさせて生存状況によって適宜入れ換えられるようになっている。この手法はFast Fluxと呼ばれる。
成功報酬型広告収入の不正取得
分散した一意なホストを多く得ることが出来るため、これを成功報酬型広告にアクセスさせれば収入を怪しまれずに受け取ることが出来る。
また、誹謗中傷対策サービスに関するご質問などがございましたら、専門スタッフが、親切丁寧にお応えいたします。
個人様・法人様の場合でも、匿名でのご相談(お電話)も承っておりますので、お気軽にご連絡くださいませ。