企業のビジネスにダメージを与えるボットネットの実態

初期のボットネットはシステム監視が用途の中心だったが、近年はサイバー犯罪の手段になった。ボットによる攻撃の仕組みとビジネスに与える影響をMcAfeeが解説している。

[國谷武史，ITmedia]

　多くのサイバー犯罪は、「ボットネット」と呼ばれるコンピュータのネットワークから仕掛けられていると言われる。ボットネットがセキュリティの脅威となった背景やその仕組み、また、どのような影響を与えるかについて、米McAfeeが公開したレポートから読み解くことができる。

　ボットネットは、本質的には別のコンピュータに接続して命令を実行するスクリプトやコマンドの集合体、もしくはプログラムを指す。初期のボットネットは、システムの監視や特殊なサービスの実行に用いられ、今日のような有害な存在ではなかった。

　セキュリティ上の脅威としてボットネットが浮上したのは、サイバー犯罪者がこの仕組みに注目して悪用し始めたこときっかけになった。サイバー犯罪に使われるボットネットは、マルウェアに感染して犯罪者が不正操作できる状態になったコンピュータ（ボット）によって構成されている。マルウェアは、ソーシャルエンジニアリングによる巧妙な手口でユーザーをだまし、個人や企業、政府機関、さらには軍隊のコンピュータにまで侵入している。

　McAfeeによれば、ボットネットのマルウェアを作成するプログラマーは、ネットワークやシステム、暗号化などについて高度な知識を有しており、金銭を目的する組織が関与している可能性が高い。企業内に侵入して、価値あるデータを盗み出すことが犯罪者や組織の動機であるという。

　ボットネットは、アンダーグラウンドで購入したり、レンタルしたりできるほか、所有者から強奪して別の目的にも使用できる。国家間の紛争にボットネットが武器として使用される可能性がある一方、国家が防衛目的でボットネットを取得する場合も想定される。

　企業や組織を標的とするボットネットによる攻撃には、以下のようなものがある。

• ワンクリック詐欺――Webを閲覧すると自動的にバナー広告がクリックされる。オンラインで広告を掲載している企業から多額の金額を引き出す詐欺行為
• DDoS（分散型サービス拒否）攻撃――帯域幅を大量に消費し、正規のトラフィックを妨害する。多くの場合、ライバル会社や不満を持つ顧客によって実行される。また、政治的な動機によって、実行されるケースもある
• ファイルシステムへの侵入――重要なシステムにアクセスして、顧客データ、従業員の個人情報、知的財産、財務情報などを盗み出す
• セキュリティ対策の無効化――マルウェアの駆除作業の妨害や、ライバルのボット所有者による乗っ取りなどが行われる
• スパム――ほかのシステムのリソースと帯域幅を利用して大量のスパムを送信する
• ソースコードへの感染――検出が困難な不正コードを挿入し、ソースコードツリー全体を改ざんする。また、攻撃可能な新たな脆弱性を探し出す

　こうした攻撃による被害は甚大で、修復に多くの人員と時間が必要になる。その結果、法令違反や業界標準からの逸脱が生じることや、セキュリティ対策が十分でないとして顧客や従業員から法的責任を問われる可能性も考えられ、場合によっては事業自体が閉鎖に追い込まれる危険性もある。

　ボットネットは進化を続けており、インフラの分散化や耐久性の向上、Webベースの制御技術の導入、さらにはセキュリティ対策の回避機能の実装といった変化がみられるという。

　McAfeeは、従来の多層的なセキュリティ機能の導入に加え、脅威情報を世界規模で収集し、最新動向に基づいて対応を講じていけるセキュリティシステムが必要だと提起する。

　なお、国内では総務省と経済産業省の連携プロジェクト「サイバークリーンセンター」（CCC）がボットネット対策を担当し、ボットの駆除ツールを配布している。CCCによれば、国内ブロードバンドユーザーにおけるボットネット感染率は、2005年は2.0〜2.5％だったが、2008年は1％未満に減少した。

　ボットネットの攻撃は海外からも行われるため、CCCは海外からのボット感染攻撃に対して国際的な連携を活用して対処していく必要があるとしている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら