マルウェアにより遠隔制御が可能となったパーソナルコンピューター(PC)を多数集め、これを同時に遠隔地から制御できる状態としたもの。

目次 概要 特徴 目的 問題 裏マーケット グリッド規模 悪質化 攻防 主要なボットネット Waledac Rusotck

概要

コンピューターウイルス、ワーム、あるいはトロイの木馬などにより他人のPCにバックドアを仕掛け、遠隔から随意に制御可能とする。この時、マルウェアに感染したPCを「ボット」と呼び、これがネットワーク化されているためボットネットと称される。

また、このようなPCを、その状況から「ゾンビ」ないし「ゾンビPC」と言うこともある。

ボットネットは、感染した個人のコンピューターのみならず、インターネット全体の安全性や安定性に対する大きな脅威となっており、全世界的な社会問題となっている。

特徴

目的

他人の電子計算機を不正に乗っ取り、あまつさえ遠隔から利用する最大の目的は、そのコンピューターを踏み台として悪事を働くことにある。

ボットと化したPCは遠隔操作により、仕込まれたプログラムを好きなときに実行させることができる。スパムを大量に送信することも出来れば、特定のWebサイトに対して同時に大量のアクセスを行なうDDoS攻撃(サービス妨害攻撃)を仕掛けることもできる。

一説によると、現在のスパムの6割がボットネットを利用して送信されている、とされる。

問題

遠くから操られるという、目に見えにくい特徴から、そのPCの利用者もPCがボットと化していることに気付きにくい。その上、いつ、どのような犯罪に用いられるかは事前の予測が本質的に不可能であり、その対策は後手に回りがちである。

かくして、今やボットネットは、サイバー犯罪者のためのネットワークインフラ「犯罪インフラ」として「大活躍」しているのである。

裏マーケット

ボットネットを操作する者は「ボットネット・ハーダー」(botnet herder)という。「ハーダー」(herder)とは、(牛・羊などの)番人、牧夫、という意味であり、家畜であるボットに対して指令を発し、それを操る人、ということである。

ボットネット・ハーダーは現在、裏マーケットでこの能力の売買を行なっているとされる。

例えば、スパム送信業者(スパマー)などに対し、一時間幾ら、というようにして、ボットネットの処理能力をレンタルしているとされる。スパマーはスパム送信で足の付きにくい方法を求めており、また、詐欺、脅迫、情報搾取や売買といった金を目的とした犯罪者にとっては、このような踏み台は絶好の存在、というわけである。

グリッド規模

多数のコンピューターをネットワークで結ぶ分散コンピューティングを「グリッドコンピューティング」という。

ボットネットは、このグリッドコンピューティング技術の悪用の最たる例である。

現在、一説によると世界中で軽く数百万台のPCが感染しているとされており、その全体的な計算能力は最新のスーパーコンピューターの能力をも凌駕する。

一つのボットネットを構成するボット数、つまり感染したコンピューター数は、数百〜数万台とされている。しかし、2005(平成17)年10月にオランダで検挙されたボットネット・ハーダーは150万台ものボットを操作し、これを用いてクレジットカード情報の搾取や、脅迫などを行なっていたとされる。

2010(平成22)年2月3日にスペイン警察に逮捕されたボットネット・ハーダーNetkairoが管理していた巨大ボットネットMariposa(スペイン語で蝶のこと)のコンピューター(より正確にはIPアドレス)数は、逮捕前の攻防で観測された数が1200万以上もあったとされる。

悪質化

いわゆるウイルスチェックソフトに捕捉されると削除されてしまうので、このようなマルウェアは日々悪質化が進んでいる。

NimdaやCode Redなどに代表される、電子メールで時々流行するワームは、一般にプログラマー個人の腕自慢、悪ふざけである。しかしこちらは「商売」としてソフトウェアを作っているため、注ぎ込まれる技術力は比較にならない。

自身の検出や削除を防ぐため、暗号化技術や、それに類する技術などが組み込まれており、容易にはその存在が発覚しないようになっている。また、発見を免れるためにネットワーク帯域を殆ど使用しない親切?設計のものが多い。

攻防

主要なボットネット

ZERO-DAYJP (0DAY.JP)ブログによると、2010(平成22)年のボットネットのトレンドは、次のとおり。

1. Rustock (25万マシン)
2. CutWail/Pushdo (10万マシン)
3. Lethic (7.5万マシン以上)
4. Grum (6.5万マシン)
5. Festi (6万マシン)
6. Maazben (3万マシン)

その他、30万マシン以下のボットネットに、次のようなものがあるとする。

• Asprox
• Fuflo
• Waledac
• Fivetoon/DMSSpammer
• Xarvester
• Bobax/Kraken
• Gheg
• Bagle
• Mega-D
• Ozdok

2011(平成23)年現在、最も活発なスパム送信ボットネットはBagleとされている。

Waledac

2010(平成22)年2月25日、米Microsoftは、当時米国でも十指に入っていた東ヨーロッパの大規模ボットネットWaledacの遮断に成功したと発表した。

2010(平成22)年2月22日、地方裁判所はMicrosoftがボットネットに利用されていると見込む約277件のインターネットドメインの閉鎖要求を認め、その3日後、感染コンピューターの大多数は接続が遮断された、と発表した。

Cracking Down on Botnets - The Official Microsoft Blogによれば、Waledacは1日に15億件のスパムを送信する能力を持ち、2009(平成21)年12月には、3週間足らずでHotmailに対して6億5100万件ものスパムメールを送信したという。

Rusotck

2011(平成23)年3月16日、米Microsoftは、大規模ボットネットRustockの遮断に成功したと発表した。

推定100万台のボットがあり、毎日数十億件ものスパムメールを送信していた。

連邦地方裁判所の決定で複数の場所にあったC&C(コマンド＆コントロール)サーバーが押収された結果、Rustockボットネットは16日に活動を停止したとする。

2010(平成22)年末には毎日平均40億のスパムメールがRustockから送信され、一時はスパムの47.5%がRustockから送られていたとされる。Rustockの遮断成功により、スパム量は世界的に1/3程度減った。

リンク

関連する用語
ボット
ゾンビ
ボットネット・ハーダー

[再検索] [戻る]