ボットネットとは? | ボットネット攻撃の検出と緩和

ボットネットとは?

ボットネットは、スマートフォンや IoT デバイスなど、それぞれが 1 つ以上のボットを実行している多数のインターネット接続デバイスで構成されています。ボットネット所有者は、コマンド・アンド・コントロール(C&C)ソフトウェアを使用して、大規模な自動処理を必要とするさまざまな(通常は悪意のある)アクティビティを実行します。たとえば、次のようなものがあります。

  • 予定外のアプリケーションダウンタイムを引き起こす分散型サービス妨害(DDoS)攻撃
  • 漏えいされた認証情報リストの利用によるアカウントの乗っ取り(認証情報盗み取り攻撃)
  • ウェブアプリケーション攻撃によるデータ窃盗
  • 攻撃者へのデバイスアクセス情報とネットワーク接続情報の提供
ボットネットはさまざまな目的でサイバー犯罪者によって貸与されるケースが増えており、インターネット対応のビジネスにとって脅威です。つまり、攻撃者は独自のボットネットを構築するための専門知識を持つ必要がなくなり、他人がすでに作成したボットネットを利用できるようになった、ということです。

ボットネットに含まれるボットの数はどのくらいか?

ボットの数はボットネットごとに異なり、保護されていないデバイスを感染させるボットネット所有者の技量によっても異なります。以下にいくつか例を挙げます。

Mirai ボットネット

2016 年 9 月に Mirai ボットネットが検出されたとき、Akamai は最初のターゲットの 1 つでした。Akamai のプラットフォームは、その後も Mirai ボットネットの攻撃を受け続けましたが、防御に成功しています。Akamai の調査では、Mirai が他の多くのボットネットと同様に、DDoS のコモディティ化の一因となっているというはっきりとした兆候が見られます。このボットネットの C&C ノードの多くは、特定の IP を攻撃していることが確認されましたが、さらに多くのノードが「ペイフォープレイ」攻撃とみなされるものに加わっていたこともわかりました。このような状況で Mirai C&C ノードは、IP を短時間攻撃してから非アクティブになり、その後、再度出現して別のターゲットを攻撃していることが確認されました。Mirai ボットネットについて詳しくは、こちらをご覧ください

PBot マルウェア

PBot DDoS マルウェアは、2017 年第 2 四半期に Akamai が確認した最強の DDoS 攻撃の基盤として再来しました。PBot のケースでは、攻撃者は何十年も前の PHP コードを使用して、大規模な DDoS 攻撃を生成しました。攻撃者は、毎秒 75 ギガビット(Gbps)の DDoS 攻撃を仕掛ける能力を備えたミニ DDoS ボットネットを作成することに成功しました。興味深いのは、PBot ボットネットは比較的小規模な 400 ノードで構成されていたにもかかわらず、きわめて高レベルの攻撃トラフィックを生成できた点です。PBot マルウェアについて詳しくは、こちらをご覧ください

ボットネットに対する防御

ボットネットは、ボットネット所有者のコマンド・アンド・コントロール下にあるインターネット接続デバイスの単なる集まりであることを理解することが重要です。このように、ボットネットはさまざまなタイプの攻撃を開始するのに利用できるため、攻撃のタイプごとに異なる防御が必要になります。Akamai は、ボットネットを検出して防御するクラウド・セキュリティ・ソリューションを提供しています。たとえば、次のようなものがあります。