再確認、「ボット」って何だ？ 何がコワイの？：年末緊急特番！ボットネット対策のすすめ（2/3 ページ）

[松木隆宏，ITmedia]

ボットの持つ機能

　ボットはハーダーからの指令によってあらゆる悪意のある活動を行うと述べた。指令に対応するボットの機能のいくつかを、より具体的に説明しよう。

1.スパムメールの送信

　従来のウイルスのように、ボットも自らSMTPプロトコルを利用し、メールの送信を行うことができる。初期のボットは、この機能を利用してスパムメールを送信していたと考えられる。しかしながら、現在ではより効率的にスパムメールを送信するために、この機能よりも後述するプロキシサーバを利用されることが多い。

2.プロキシサーバ

　プロキシサーバとは、通信を中継するサーバプログラムである。ボットに実装されているプロキシサーバはさまざまな通信を中継することができる。TCPレベルで通信を中継するものだけでなく、サーキットレベルのSOCKSプロキシやHTTPなどのアプリケーションレベルのプロキシが実装されている。ポートが外部からアクセス可能であれば、どんな通信でも中継されるだろう。

　ネットワークを介した攻撃や犯罪行為となる通信を中継した場合、ボットに感染したコンピュータがその通信の発信元（＝犯人）と思われてしまう。

　プロキシサーバの使われ方として最も多いのは、スパムメール送信の中継である。ただし、スパムメールの送信者であるスパマーとハーダーは、必ずしも同一人物または団体でるとは限らない。

　ハーダーは、スパマーに対してボットネットに所属するボットの貸し出しを行うことで収益を得ているといわれている。またスパムメールだけでなく、フィッシングサイトに誘導するためのフィッシングメールの送信にも悪用されていることが判明している。

3.DDoS攻撃

　ボットに実装されているDDoS攻撃の実行手段はいくつかある。大量のリクエストやデータの塊を送信する各種のフラッディング機能が実装されている。

• GETフラッド（HTTPフラッド）
• SYNフラッド
• UDPフラッド

　GETフラッドの標的はWebサーバであり、Webページの閲覧を要求するGETリクエストを大量に送信し続ける。いわゆる「F5アタック」と同じだ。SYNフラッドは大量のTCP SYNパケットを標的サーバに送信することで、サーバのリソースを枯渇させる（画面1）。UDPフラッドも同様に、大量のUDPデータグラムを標的サーバに送信することで巨大なトラフィックを生成する。

画面1●ハーダーの指令を受けて一斉にSYNフラッドを行うボットたち

　いずれの攻撃も標的となったサーバのサービスを妨害するものであり、標的サーバ上のサイトが閲覧できなくなったり、メールの送受信ができなくなるなどの状態に陥る。

4.情報収集（キーロガー、スニッファ、スクリーンキャプチャ）

　ボットは感染したコンピュータの利用者の行動を追跡できる機能も実装している。キーボード入力を監視して記録するキーロガー、ネットワーク通信を盗聴するスニッファ、表示されている画面を保存するスクリーンキャプチャなどだ。

　これらの機能は、メールや会員制サイト、オンラインゲームのアカウント、クレジットカード番号ｊなど、金銭価値のある情報を盗む目的で使用されることが多い。だが同時にメールやチャット、blogや掲示板への書き込み内容などを盗み見られる可能性もある。