ボットネットとC&Cサーバの特徴とその対策について

目に見えない脅威であるボットネットに私たちは警戒をしなければなりません。

ボットネットは、通常のプログラムになりすまして、端末に潜伏するため、発見する事が非常に困難で厄介な存在です。

ボットネットはパソコンなどのアプリケーションに扮して端末内でゆったりと活動し、単体では脅威とはならないため、アンチウイルスソフトでの検知は非常に難しいと言われてます。

私たちはこのウイルスに対してどのような対策をとるべきなのか解説していきます。

ボットネットとは？

ボットネットの定義についてここで確認しておきます。

ボットネットの特徴

単独では活動せず、長期間にわたり端末内(主にパソコン端末)に潜伏します。一見、通常のアプリケーションと同じような挙動をするため、瞬時にボットネットにかどうか判別するのは難しいと言われています。

ボットネットの活動

ボットネットは外部のサーバと接続される事で初めて脅威となります。外部サーバと通信する事で、ボットネットを中心としたネットワーク網が作成されます。それにより、端末内の情報や入力したパスワード情報、メールアドレスなどが外部サーバに漏洩します。

ボットネットの感染経路

ボットウイルスは、PC端末やスマホ端末内に静かに潜伏しています。潜伏しているボットネットは、C＆Cサーバの司令をじっと待っています。

ここでは、ボットウイルスが端末に感染する経路を紹介していきます。

送られてくるメールのリンクをクリックして感染

送られてきたメール（主にスパムメール）に添付されているURLをクリックしてサイトにアクセスすることで感染します。

事例としては、Trojan.Pandexというスパムボットに感染したコンピューターが送るメールが以下です。このメール内のリンクにクリックすると、Webページにアクセスし、そこでマルウェアに感染してしまいます。

ショートメッセージ（SMS）の中にあるリンクをクリックして感染

AndroidスマホのSMSから感染するパターンです。

事例として、 Android.PikspamというボットはSMSに人気ゲームの無料版のお知らせ、賞金獲得の偽メッセージを送り、メッセージにあるリンクをクリックすると、ボットが仕込まれたアプリがダウンロードされるという手口です。

このケースで問題なのは、アプリをインストールしたと同時に、ボットも知らないうちにインストールされてしまうことです。

非公式アプリマーケットにあるアプリからの感染

アプリをダウンロードするマーケット経由でボットが仕込まれたアプリをダウンロードしてしまうケースです。

具体的な事例としては、中国で最大100万台のデバイスに広がったモバイルボットネット“MDK ボットネット”です。中国のGoogle Playではない非公式なアプリマーケットで見つかっています。人気ゲームなどの正規アプリにマルウェアを入れて、再パッケージをして非公式アプリマーケットでダウンロードを誘うという手口を使っていました。

また、有料アプリが無料でDLできるからといって、公式マーケット以外からDL・インストールすることは自身の端末を危険にさらすことになりますので、注意が必要です。

Webページを介してファイルをダウンロードしたときに感染

インターネット上で公開されているファイルをDLすると感染する経路です。

事例としては、中東で使われていたnjRATというボットがありました。ファイル共有サイトge.tt にボットを置いて感染させたケースがあります。犯罪者はスクリーンセーバーとボットを併せて圧縮したファイルをサイトにおきます。

ユーザがファイルをDLして解凍すると、ウイルスに感染するという手口です。

マルウェアに感染したWebサイトにアクセスすることで感染

これは、当の本人は全く見に覚えがないケースがほとんどです。マルウェアに感染したサイトを閲覧しただけで、端末がウイルスに感染してしまうので注意が必要です。

P2Pネットワークにあるファイルをダウンロードして感染

ピアツーピア（P2P）ネットワークにあるボットマルウェアを置き、それをダウンロードしたユーザーが感染します。

感染するとどうなる？

ボットネットに感染すると、実際にどのような影響が生じるのでしょうか。

注意しなければならないのは、感染した端末は、サイバー犯罪者の思うがままに操られてしまうということです。

社内のネットワークに侵入され、ウイルスをばらまかれたり、情報を取られたり、最近ではビットコインの生成などにも活用されます。

影響が組織内だけであれば、まだマシですが、最も質が悪いのは、犯罪の踏み台にされてしまうことです。自身の端末が二次攻撃の踏み台として扱われた場合は、知らなかったでは済まされない状況になるので、一層の注意が必要になります。

ここでは、実際に感染してしまうとどのような影響があるのかを検証していきましょう。

DDos攻撃に加担させられる（二次攻撃）

DDos攻撃とは、標的となるサーバに対して、多くのコンピュータから一斉にアクセスすることで、サーバやサービスサイトをダウンさせる攻撃です。DDos攻撃によって、アクセスが集中する状態になるため、サービスを継続することができなくなります。

ボットネットを活用したDDos攻撃は、ボットウイルスに感染した端末は、C＆Cサーバの命令によって、一斉に標的のコンピュータにアクセスし攻撃をしかけます。

以前は、大規模ボットからでないと、攻撃はできませんでしたが、今は小規模なボットネットからのアクセスを増やすことで攻撃を成立させることができるのです。

さらに最近では、ダークウェブなどのアンダーグランドマーケットでDDos攻撃を請け負うサービスなども出回っているようです。

迷惑メール踏み台にさせられる

メールアカウントが乗っ取られる形になります。

ボットに感染した端末は、C＆Cサーバの命令により迷惑メールを送信することができます。これは、気が付かない内にメールを送信させられ、中にはウイルスを仕込んだメールをアドレス帳に入っている宛先に送信されてしまいます。

さらに、コンピュータに登録しているメールアドレスをC＆Cサーバに吸い取られるケースもあります。

感染したデバイスに広告を表示させる

ボットに感染した端末に不正広告を表示させる手口です。

具体的な事例を紹介します。

事例としては、2013年6月に活動を再開したWaledacは、感染したパソコンに、さらにマルウェアを感染させます。そのマルウェアは、感染したコンピューターの情報をC&Cサーバーに送信して、侵入したコンピューターを登録します。それに加えて、検索エンジンの検索結果に悪質なポップアップ広告を表示しクリックさせるクリック詐欺を実施します。