ボット‐ネット【bot net】
ボットネット
ボットネットとは、悪意のある攻撃者によって構築され、インターネット経由の命令によって遠隔操作をされてしまっているコンピュータ群のことである。
ボットネットという名称は「ロボット(robot)」のボットに由来している。ボットネットは、パソコンを悪用することを目的に作られたプログラム(ボット)と、ボットに感染したパソコン(ゾンビパソコン)により構成され、1台のパソコンから数百~数千台のゾンビパソコンへ指令を出し、他人のコンピュータを攻撃する。
ボットネットで言われる「ボット」というのはウイルスの一種にあたり、一度感染してしまうと、悪意のある攻撃者に自由に操作されてしまう。このため、利用者は、知らぬ間にスパムメールやDDoS攻撃などの「加害者」になってしまう恐れがある。
ボットネットを操る攻撃者がボットに命令を出す際には、IRC(Internet Relay Chat)を使う場合が多い。このため、ボットを「IRC Bot」と呼ぶ場合もある。ただし、「IRC Bot」という固有名詞が付けられたボットも存在する(例えば、シマンテックが命名した「Backdoor.IRC.Bot.B」など)ため、IRCを使っていなくてもボットと呼ばれることもある。
なお、代表的なボットには、SdbotやAgobot(Gaobot)、Spybotなどがあり、インターネット上でプログラムのソースコードが公開されているものもあるため、亜種も数多く出回っている。
ボットネット
(Botnet から転送)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2026/05/19 01:29 UTC 版)
ボットネット(英: Botnet)とは、それぞれが1つ以上のボットを実行する、インターネットに接続されたデバイスのグループである。ボットネットは、分散型サービス拒否(DDoS)攻撃の実行、データの窃取[1]、スパムの送信、攻撃者によるデバイスとその接続へのアクセスの許可などに使用される。所有者は、コマンド&コントロール(C&C)ソフトウェアを使用してボットネットを制御することができる[2]。「ボットネット」という言葉は、「ロボット(robot)」と「ネットワーク(network)」を組み合わせたかばん語である。この用語は通常、否定的または悪意のあるニュアンスで使用される。
一般にサイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のゾンビコンピュータで構成される[3]。サイバー犯罪者の支配下に入ったコンピュータは、使用者本人の知らないところで犯罪者の片棒を担ぐ加害者(踏み台など)になりうる危険性がある[4]。ボットネットにおいて、指令者(ボットハーダーまたはボットマスターもしくは単にハーダーという)を特定することは、ボットネットの性質上非常に困難である。そのため、近年では組織化された犯罪者集団がボットネットを構築し、多額の金銭を得ている[5]。
概要
ボットネットとは、コンピュータ、スマートフォン、またはモノのインターネット(IoT)デバイスなど、セキュリティが破られ、第三者に制御が譲渡された、インターネット接続デバイスの論理的な集合体である。侵害された各デバイスは「ボット」と呼ばれ、デバイスがマルウェア(悪意のあるソフトウェア)の配布元からのソフトウェアに侵入されたときに作成される。ボットネットの管理者は、インターネット・リレー・チャット(IRC)やHypertext Transfer Protocol(HTTP)などの通信プロトコルによって形成される通信チャネルを通じて、これらの侵害されたコンピュータの活動を指示することができる[6][7]。
例として、通信手段に2ちゃんねる等の掲示板を使ったケースがある。ある一定の規則でスレッドを立て、そのスレッドにエンコードされた書き込みを行うと、そのスレッドを監視している感染ノードが対象のスえレッドを荒すと言うものである (Sufiage.Cなど[8][9]) 。また、Twitterやインスタントメッセンジャーや他のP2Pファイル共有プロトコルを通信手段に使った例も存在する。
所有者の許可なくデバイスにアクセスしたり制御したりするためにボットネットを運用、構築、または使用することは、ほとんどの管轄区域で違法であり、ハッキング、詐欺、または関連するサイバー犯罪として定期的に起訴される。法執行機関や民間団体も、ボットネットを解体するために法的手段を用いるが、これらのテイクダウンは法や憲法に関する別の問題を引き起こす[10][11][12]。
ボットネットコントローラーのコミュニティは、誰が最も多くのボット、最大の総帯域幅、および大学、企業、さらには政府のマシンのような「高品質」な感染マシンを最も多く持っているかを常に競い合っている[13]。ボットネットは、ブーター(booter/stresser)サービスを含め、様々な目的の商品としてサイバー犯罪者によって貸し出されることが増えている[14]。ボットネットは作成元のマルウェアにちなんで名付けられることが多いが、通常、複数のボットネットが同じマルウェアを使用しながら、異なる事業体によって運営されている[15]。
アーキテクチャ
ボットネットのアーキテクチャは、検知や解体を逃れるために時間をかけて進化してきた。従来、ボットプログラムは、既存のサーバーを介して通信するクライアントとして構築される。これにより、ボットハーダー(ボットネットの管理者)は離れた場所からすべての制御を行うことができ、トラフィックを難読化することができる[16]。最近のボットネットの多くは、通信に既存のP2Pネットワークに依存している。これらのP2Pボットプログラムはクライアント・サーバーモデルと同じアクションを実行するが、通信に中央サーバーを必要としない。
クライアント・サーバーモデル
インターネット上の初期のボットネットは、タスクを遂行するためにクライアント・サーバーモデルを使用していた[17]。通常、これらのボットネットはインターネット・リレー・チャットネットワーク(IRC)、ドメイン、またはウェブサイトを通じて機能する。感染したクライアントは予め決められた場所にアクセスし、サーバーから送られてくるコマンドを待機する。ボットハーダーはサーバーにコマンドを送信し、サーバーはそれをクライアントに中継する。クライアントはコマンドを実行し、その結果をボットハーダーに報告する[16]。
ボットネットのノードは感染するとダイナミックDNSや応答の速いドメイン登録業者のサービスを使って登録されたドメイン名を使って、IRCサーバに接続する。IRCに接続したノードはそのIRCの然るべきチャンネルに参加し、自分の存在をチャンネルの参加者に伝え、命令を待つ一種のIRCボットとなる。命令はユーザとして参加している指令者のIRCの発言として為され、命令を受け取ったノードはその命令を実行する。
IRCサーバもまたコンピュータウイルスに感染したコンピュータによって構成されていることが多く、ひとつのIRCサーバが止められてもボットネット全体が止まることは無く、指令者の接続元を突き止めるのは困難になっている。このように、ノードの生成/消滅にかかわらず接続性を保証するためにDomain Name Systemに依存しているため、対応にはドメインの提供者の協力が必要になる。
ピア・ツー・ピア
IRCボットネットの検知と解体への対策として、ボットハーダーはP2Pネットワーク上にマルウェアを展開し始めた。これらのボットは、Gameover ZeuSやZeroAccessボットネットのように、秘密鍵にアクセスできる者だけがボットネットを制御できるようにデジタル署名を使用することがある[18]。
より新しいボットネットは、P2Pネットワーク上で完全に機能する。P2Pボットは中央サーバーと通信するのではなく、コマンドを配信するサーバーと、コマンドを受信するクライアントの両方の役割を果たす[19]。これにより、中央集権型のボットネットの問題である単一障害点を持つことを回避できる。
他の感染したマシンを見つけるために、P2Pボットは別の感染したマシンを特定するまで、ランダムなIPアドレスを密かに調査する。連絡を受けたボットは、ソフトウェアのバージョンや既知のボットのリストなどの情報を返信する。どちらかのボットのバージョンが古い場合、アップデートのためのファイル転送が開始される[18]。このようにして、各ボットは感染したマシンのリストを増やし、定期的にすべての既知のボットと通信することで自身を更新する。
コマンド&コントロール(C&C)
コマンド&コントロール(C&C)とは、攻撃者(ボットマスター)がマルウェアに感染したコンピュータ(ボット)群に対して、命令を送ったり情報を収集したりするための仕組みや通信経路全体を指す。
ボットネットの作成者(「ボットハーダー」または「ボットマスター」と呼ばれる)は、ボットネットを遠隔から制御する。ボットマスターは、自分のコンピュータから直接個々のボットを操作するのではなく、「C&Cサーバ(C2サーバ)」という中継地点を介して操作を行う。運用プログラムは、被害者のマシン(ゾンビコンピュータ)上のクライアントとカバートチャネルを介して通信を行う。
制御プロトコル
IRCは、その通信プロトコルの特性から、歴史的にC&Cの手段として好まれてきた。ボットハーダーは感染したクライアントが参加するためのIRCチャンネルを作成する。チャンネルに送信されたメッセージは、チャンネルの全メンバーにブロードキャストされる。ボットハーダーは、チャンネルのトピックを設定してボットネットにコマンドを出すことがある。例えば、ボットハーダーからの :herder!herder@example.com TOPIC #channel DDoS www.victim.com というメッセージは、#channelに属するすべての感染クライアントに対し、ウェブサイトwww.victim.comへのDDoS攻撃を開始するよう警告する。ボットクライアントによる :bot1!bot1@compromised.net PRIVMSG #channel I am DDoSing www.victim.com という応答例は、攻撃を開始したことをボットハーダーに知らせる[18]。
一部のボットネットは、よく知られたプロトコルのカスタムバージョンを実装している。この実装の違いは、ボットネットの検知に使用されることがある。例えば、Mega-Dは、スパム機能をテストするためにわずかに変更されたSimple Mail Transfer Protocol(SMTP)の実装を特徴としている。Mega-DのSMTPサーバーを停止させると、同じSMTPサーバーに依存しているボットのプール全体が無効になる[20]。
ゾンビコンピュータ
計算機科学において、ゾンビコンピュータとは、インターネットに接続されたコンピュータのうち、ハッカー、コンピュータウイルス、またはトロイの木馬によって侵害され、遠隔操作の下で悪意のあるタスクを実行するために使用される可能性のあるものを指す。ゾンビコンピュータのボットネットは、多くの場合、電子メールスパムの拡散やサービス拒否攻撃(DDoS)の開始に使用される。ゾンビコンピュータの所有者の多くは、自分のシステムがこのように使用されていることに気づいていない。所有者が気付いていない傾向があるため、これらのコンピュータは比喩的にゾンビに例えられる。また、複数のボットネットマシンによる組織的なDDoS攻撃は、ゾンビの群れによる攻撃にも似ている[21]。
システムがボットネットに参加させられた結果として計算資源が盗まれるプロセスは、時折「スクランピング(scrumping)」と呼ばれることがある[22]。
コマンド&コントロールプロトコルの種類
ボットネットのコマンド&コントロールプロトコルは、従来のIRCアプローチからより洗練されたバージョンまで、様々な方法で実装されてきた。
Telnet
Telnetボットネットは、ボットがボットネットをホストするメインコマンドサーバーに接続するという、シンプルなC&Cボットネットプロトコルを使用する。ボットは、外部サーバー上で動作し、TelnetおよびSSHサーバーのデフォルトログインを求めてIPレンジをスキャンするスキャンスクリプトを使用することで、ボットネットに追加される。ログインが見つかると、スキャンサーバーはSSHを通じてマルウェアに感染させることができ、そのマルウェアはコントロールサーバーにpingを送信する。
IRC
IRCネットワークは、シンプルで低帯域幅の通信方法を使用するため、ボットネットのホストとして広く使用されている。これらは構造が比較的シンプルである傾向があり、DDoS攻撃やスパムキャンペーンの調整にある程度の成功を収めつつ、継続的にチャンネルを切り替えてテイクダウンを回避することができる。しかし、場合によっては、特定のキーワードをブロックするだけで、IRCベースのボットネットを阻止するのに効果的であることが証明されている。RFC 1459(IRC)規格はボットネットで人気がある。最初に普及した既知のボットネットコントローラースクリプト「MaXiTE Bot」は、プライベートな制御コマンドにIRC XDCCプロトコルを使用していた。
IRCを使用する際の問題の1つは、各ボットクライアントがボットネットとして機能するためにIRCサーバー、ポート、およびチャンネルを知っていなければならないことである。マルウェア対策組織は、これらのサーバーやチャンネルを検知してシャットダウンし、ボットネットの攻撃を事実上阻止することができる。これが発生した場合、クライアントは感染したままであるが、指示を受け取る方法がないため通常は休眠状態になる[18]。この問題を軽減するために、ボットネットは複数のサーバーやチャンネルで構成されることがある。サーバーまたはチャンネルの1つが無効になった場合、ボットネットは単に別のものに切り替わる。IRCトラフィックをスニッフィングすることで、追加のボットネットサーバーやチャンネルを検知し、解体することは依然として可能である。ボットネットの敵対者は、制御スキームの知識を得て、コマンドを正しく発行することでボットハーダーを模倣することさえできる可能性がある[23]。
P2P
IRCネットワークやドメインを使用するほとんどのボットネットは時間とともに解体される可能性があるため、ハッカーはボットネットの回復力を高め、終了に抵抗するために、C&Cを備えたP2Pボットネットへと移行している。
一部のハッカーは、ボットネットを他者から保護またはロックダウンする方法として暗号化を使用しており、ほとんどの場合、暗号化を使用する際は公開鍵暗号であり、その実装と解読の両方に課題をもたらしている。
ドメイン
大規模なボットネットの多くは、その構築においてIRCよりもドメインを使用する傾向がある。これらは通常、防弾ホスティングサービスでホストされている。これは最も初期のC&Cタイプの1つである。ゾンビコンピュータは、制御コマンドのリストを提供する特別に設計されたウェブページまたはドメインにアクセスする。C&Cとしてウェブページやドメインを使用する利点は、大規模なボットネットを、容易に更新可能な非常にシンプルなコードで効果的に制御および維持できることである。
この方法を使用する欠点は、大規模になるとかなりの帯域幅を使用することと、政府機関によってドメインが容易に押収される可能性があることである。ボットネットを制御するドメインが押収されない場合でも、サービス拒否攻撃によって侵害されやすい標的となる。
Fast-flux DNSは、日々変化する可能性のあるコントロールサーバーを追跡しにくくするために使用されることがある。コントロールサーバーはDNSドメインからDNSドメインへと移動し、コントローラーサーバーの新しいDNS名を作成するためにドメイン生成アルゴリズムが使用される。
一部のボットネットは、DynDns.org、No-IP.com、Afraid.orgなどの無料のDNSホスティングサービスを使用して、サブドメインをボットを潜伏させているIRCサーバーに向ける。これらの無料DNSサービス自体は攻撃をホストしないが、リファレンスポイント(多くの場合、ボットネットの実行可能ファイルにハードコードされている)を提供する。このようなサービスを削除することで、ボットネット全体を機能不全に陥れることができる。
その他
GitHub[24]、Twitter[25][26]、Reddit[27]、Instagram[28]などの人気サイトへのコールバック[29]、オープンソースのインスタントメッセージプロトコルであるXMPP[30]、およびTorの秘匿サービス[31]は、C&Cサーバーと通信するためのエグレスフィルタリングを回避する一般的な方法である[32]。
手法
従来の方法
この例は、ボットネットがどのように作成され、悪意のある利益のために使用されるかを示している。
- ハッカーはトロイの木馬やエクスプロイトキットを購入または構築し、それを使用してユーザーのコンピュータへの感染を開始する。そのペイロードは悪意のあるアプリケーション、すなわちボットである。
- ボットは感染したPCに、特定のコマンド&コントロール(C&C)サーバーに接続するよう指示する。(これにより、ボットマスターはいくつのボットがアクティブでオンラインであるかのログを保持できる。)
- ボットマスターはその後、ボットを使用してキーストロークを収集したり、フォームグラビングを使用してオンライン認証情報を盗み出したりする可能性があり、DDoSやスパムとしてのサービスとしてボットネットを貸し出したり、利益のためにオンラインで認証情報を販売したりすることがある。
- ボットの品質と機能に応じて、その価値は増減する。
より新しいボットは、環境を自動的にスキャンし、脆弱性や脆弱なパスワードを使用して自己伝播することができる。一般的に、ボットがスキャンして伝播できる脆弱性が多ければ多いほど、ボットネットコントローラーのコミュニティにとっての価値は高くなる[33]。
悪意のあるソフトウェアを実行すると、コンピュータがボットネットに組み込まれる可能性がある。これは、ユーザーを誘い込んでドライブバイダウンロードを行わせたり、ウェブブラウザの脆弱性を悪用したり、電子メールの添付ファイルから来る可能性のあるトロイの木馬プログラムをユーザーを騙して実行させることで達成される。このマルウェアは通常、コンピュータがボットネットのオペレーターによってコマンドおよび制御されることを可能にするモジュールをインストールする。ソフトウェアがダウンロードされた後、ホストコンピュータにコールホーム(再接続パケットを送信)する。再接続が行われると、どのように記述されているかに応じて、トロイの木馬は自身を削除するか、モジュールを更新および維持するために存在し続ける場合がある。
その他
場合によっては、2010年のプロジェクト・チャノロジー中に4chanのメンバーによって使用されたLow Orbit Ion Cannonの実装のように、ボランティアのハクティビストによってボットネットが一時的に作成されることがある[34]。
中国のGreat Cannon(Great Cannon of China)は、中国へ向かうインターネットバックボーンにおける正当なウェブブラウジングトラフィックの変更を可能にし、2015年にGitHubなどの大きな標的を攻撃するための大規模で一時的なボットネットを作成する[35]。
対策
ボットネットの地理的な分散は、各リクルート(感染したデバイス)を個別に特定、隔離、修復しなければならないことを意味し、ファイアウォールによるフィルタリングの効果を制限する。
コンピュータセキュリティの専門家は、サーバーを押収するかインターネットから切断すること、マルウェアがC&Cインフラストラクチャとの通信に使用する予定だったドメインへのアクセスを拒否すること、場合によってはC&Cネットワーク自体に侵入することなどにより、マルウェアのコマンド&コントロールネットワークを破壊または無力化することに成功している[36][37][38]。これへの対抗として、C&Cオペレーターは、IRCやTorなどの既存の無害なインフラストラクチャの上にC&Cネットワークをオーバーレイしたり、固定サーバーに依存しないP2Pネットワーキングシステムを使用したり、ネットワークへの侵入やなりすましの試みを打ち負かすために公開鍵暗号を使用したりするなどの手法に頼るようになっている[39]。
Norton AntiBotは消費者向けであったが、ほとんどの対策は企業やISPを対象としている。ホストベースの手法では、ヒューリスティクスを使用して、従来のアンチウイルスソフトウェアをすり抜けたボットの挙動を特定する。ネットワークベースのアプローチでは、上で説明した手法(C&Cサーバーのシャットダウン、DNSエントリのヌルルーティング、またはIRCサーバーの完全なシャットダウン)を使用する傾向がある。BotHunterは、アメリカ陸軍研究局の支援を受けて開発されたソフトウェアであり、ネットワークトラフィックを分析し、それを悪意のあるプロセスの特徴的なパターンと比較することで、ネットワーク内のボットネット活動を検知する。
サンディア国立研究所の研究者たちは、ボットネットがどのように機能するかを観察し、それを阻止する方法を実験するために、非常に大規模なネットワークをエミュレートする目的で、4,480ノードの高性能コンピュータ・クラスター上の仮想機械として、ボットネットと同様の規模である100万個のLinuxカーネルを同時に実行し、ボットネットの挙動を分析している[40]。
攻撃者によってより新しく洗練された世代のボットが立ち上げられるにつれて、自動化されたボットの検知はより困難になる。例えば、自動化された攻撃では、大規模なボット軍団を展開し、非常に正確なユーザー名とパスワードのリストを用いたブルートフォース手法を適用してアカウントをハッキングすることができる。この考え方は、世界中の異なるIPから何万ものリクエストでサイトを圧倒することだが、各ボットは10分程度に1回しかリクエストを送信しないため、結果として1日に500万回以上の試行が行われる可能性がある[41]。このような場合、多くのツールがボリューム型検知を活用しようとするが、自動化されたボット攻撃は現在、ボリューム型検知のトリガーを回避する方法を持っている。
これらのボット攻撃を検知するための技術の1つに、「シグネチャベース・システム」として知られるものがあり、ソフトウェアはリクエストパケット内のパターンを検知しようと試みる。しかし、攻撃は絶えず進化しているため、数千のリクエストからパターンを見分けられない場合、これは実行可能な選択肢ではない可能性がある。また、ボットを阻止するための振る舞いベースのアプローチもあり、これは最終的にボットと人間を区別しようとするものである。人間以外の挙動を特定し、既知のボットの挙動を認識することで、このプロセスはユーザー、ブラウザ、およびネットワークレベルで適用できる。
ウイルスに対抗するためにソフトウェアを使用する最も有能な方法は、システムが脆弱であるとマルウェアに信じ込ませるために、ハニーポットソフトウェアを利用することである。悪意のあるファイルはその後、フォレンジックソフトウェアを使用して分析される。
2014年7月15日、アメリカ合衆国上院司法委員会の犯罪およびテロリズム小委員会[42]は、ボットネットがもたらす脅威と、ボットネットを解体・無力化するための官民の取り組みに関する公聴会を開催した[43]。
脆弱なIoTデバイスの増加により、IoTベースのボットネット攻撃が増加している。これに対処するため、N-BaIoTと呼ばれるIoT向けの新しいネットワークベースの異常検知手法が導入された。これは、ネットワークの挙動の全体像をキャプチャし、ディープオートエンコーダを採用して侵害されたIoTデバイスからの異常なトラフィックを特定する。この手法は、9つのIoTデバイスをMiraiおよびBASHLITEボットネットに感染させることでテストされ、ボットネット内の侵害されたIoTデバイスから発生する攻撃を正確かつ迅速に検知する能力が示された[44]。
さらに、ボットネットを検知するさまざまな方法を比較することは、研究者にとって非常に有用である。これは、各手法が他の手法と比較してどの程度機能するかを確認するのに役立つ。この種の比較は、研究者が手法を公平に評価し、それらをより良くする方法を見つけることを可能にするため有益である[45]。
応用
ボットネットは多様な攻撃や不正行為に利用される。欧州連合サイバーセキュリティ機関(ENISA)の2025年脅威報告書によれば、ボットネットを利用したDDoS攻撃がインシデント全体の77%を占め、最も頻度の高い攻撃手法となっている[46]。
DDoS攻撃
分散型サービス妨害(DDoS)攻撃は、ボットネットの最も代表的な用途である[46]。ボットマスターは配下の多数のゾンビコンピュータに対し、標的のサーバやネットワークへ、一斉に可能な限り多くのリクエストを送信するよう指令を出し、サービスの提供を妨害する[47]。Googleの不正対策担当であるShuman Ghosemajumderは、ボットネットがサービスとして使用されているため、主要なウェブサイトに停止をもたらすこれらの種類の攻撃は定期的に発生し続けるだろうと述べている[48]。2007年にはエストニアの政府機関や民間ウェブサイトに対するDDoS攻撃にボットネットが使用され、国際的な注目を集めた[49]。
フィッシング
ボットネットはフィッシングのためのスパムメールの送信基盤として広く利用されている[50]。電子メールやテキストで送信されたリンクを「被害者」がクリックすることで、「被害者」のアカウントのログイン情報を取得し[51]、情報を違法に詐取する。ベライゾンによる調査では、電子的な「スパイ活動」の約3分の2がフィッシングによるものであることが判明した[52]。
世界各地に分散した感染端末から送信されるため、特定の地域に偏らず、ブラックリストによるフィルタリングを回避しやすい。送信元ホストのDNS逆引きが未設定であるか、DSLやCATV回線と思われる機械的な命名規則のFQDNである場合が多い[53]。2000年に発覚したEarthlink Spammerボットネットは、1年間で125万通以上の不正メールを送信した最初の著名な事例とされている[50]。
クレデンシャルスタッフィング(認証情報の詐取)
ENISAの2020年ボットネット脅威報告書は、ボットネットの活動の多くが利用者の認証情報(IDやパスワード)の窃取に関連していると報告している[54]。ボットネットに組み込まれたキーロガーや情報窃取型マルウェア(インフォスティーラー)が感染端末上で動作し、オンラインバンキングや電子メールなどの認証情報を収集して指令者に送信する[47]。Emotetは当初バンキングトロイの木馬として2014年に確認されたが、後にボットネット基盤へと進化し、窃取した認証情報や感染端末へのアクセスを他の犯罪者に販売するMaaSモデルを運用した[55]。また、別のサイトから流出した認証情報を使い大量のログインを自動試行するクレデンシャルスタッフィング攻撃にもボットネットが利用されている[47]。
ランサムウェアの配布
ボットネットはランサムウェアの配布手段としても機能する。EmotetボットネットはTrickBot経由でRyukランサムウェアを配布していたことが確認されている[55]。ENISA 2025年報告書ではランサムウェアを「EU域内で最も破壊的かつ経済的被害の大きい脅威」と位置づけており、その拡散にボットネットが利用されている[46]。
暗号資産の不正マイニング
感染端末の計算資源を利用して暗号通貨をマイニングする手法は「クリプトジャッキング」と呼ばれ、ボットネットの収益化手段として増加している[56][57][58]。2023年に発見されたNoaBotは、Miraiの亜種をベースにSSH経由で拡散し、感染端末にMoneroマイニング用のXMRigを設置するボットネットであり、849以上の攻撃元IPが世界各地で確認された[59]。
クリック詐欺
ボットネットを利用し、成功報酬型広告に対して偽のクリックを自動生成することで、広告主から不正に収益を得る手口がある[47][50]。分散した多数の一意なIPアドレスからアクセスが行われるため、不正検知が困難になる。
違法サイトの構築
ボットネットの感染端末をリバースプロキシとして利用し、フィッシングサイトや違法な商品販売サイトを構築する手口もある。複数の感染ノードをDNSラウンドロビンで切り替えることで、特定のサーバが停止されても即座に別のノードに切り替わる。この手法はファスト・フラックスと呼ばれる[60]。
スパイウェアの配布
スパイウェアは、ユーザーの活動(通常はパスワード、クレジットカード番号、その他ブラックマーケットで販売できる情報)に関する情報を作成者に送信するソフトウェアである。企業ネットワーク内にある侵害されたマシンは、多くの場合、機密の企業情報へのアクセスを得ることができるため、ボットハーダーにとってより価値が高い可能性がある。Auroraボットネットのように、大企業を標的としたいくつかの攻撃は、機密情報を盗むことを目的としていた[61]。
アドウェアの配布
分散した多数の感染端末にアドウェアを配置し、広告を強制表示させたり広告サイトにアクセスさせることで、不正な広告収入を得る用途がある。CHEQの「Ad Fraud 2019, The Economic Cost of Bad Actors on the Internet」によると、悪意のあるボット活動の結果であることが多い[62]。ボットの商業目的には、インフルエンサーが自らの見かけのの人気を高めるために使用したり、オンラインパブリッシャーが広告のクリック数を増やすためにボットを使用して、サイトが広告主からより多くの手数料を得られるようにしたりすることが含まれる。
ボットネット・アズ・ア・サービス
近年、ボットネットの構築・運用者(ボットマスター)が、自らのボットネットを第三者に貸し出す「ボットネット・アズ・ア・サービス」(Botnet-as-a-Service)と呼ばれるビジネスモデルが確認されている[50]。利用者は料金を支払うことで、DDoS攻撃の代行やスパム送信、マルウェア配布などのサービスを購入できる[47]。
歴史
最初のボットネットは、2001年に悪名高いスパマーであるKhan C. Smithとの訴訟中にアースリンクによって初めて認識され、暴露された[63]。このボットネットは大量スパムの目的で構築され、当時のすべてのスパムのほぼ25%を占めていた[64]。2006年頃、検知を妨害するために、いくつかのボットネットはその規模を縮小していた[65]。
以下は、歴史的なボットネットの非網羅的なリストである。
| 作成日 | 解体日 | 名前 | 推定ボット数 | スパム送信能力(10億件/日) | 別名 | |
|---|---|---|---|---|---|---|
| 2002 | MaXiTE | 500-1000台のサーバー | 0 | MaXiTE XDCC Bot, MaXiTE IRC TCL Script, MaxServ | ||
| 不明[66](遅くとも2004年[67]) | Marina Botnet | 6,215,000[66] | 92 | |||
| Torpig | 180,000[68] | Sinowal, Anserin | ||||
| Storm | 160,000[69] | 3 | Nuwar, Peacomm, Zhelatin | |||
| 2006年(頃) | 2011年(3月) | Rustock | 150,000[70] | 30 | RKRustok, Costrat | |
| Donbot | 125,000[71] | 0.8 | Buzus, Bachsoy | |||
| 2007年(頃) | Cutwail | 1,500,000[72] | 74 | Pandex, Mutant(関連: Wigon, Pushdo) | ||
| 2007年 | Akbot | 1,300,000[73] | ||||
| 2007年(3月) | 2008年(11月) | Srizbi | 450,000[74] | 60 | Cbeplay, Exchanger | |
| 2008年(頃) | Sality | 1,000,000[75] | Sector, Kuku | |||
| 2008年(頃) | 2009年(12月) | Mariposa | 12,000,000[76] | |||
| 2008年(頃) | Kraken | 495,000[77] | 9 | Kracken | ||
| 2008年(11月) | Conficker | 10,500,000+[78] | 10 | DownUp, DownAndUp, DownAdUp, Kido | ||
| 2008年(11月) | 2010年(3月) | Waledac | 80,000[79] | 1.5 | Waled, Waledpak | |
| Onewordsub | 40,000[80] | 1.8 | ||||
| Nucrypt | 20,000[80] | 5 | Loosky, Locksky | |||
| Wopla | 20,000[80] | 0.6 | Pokier, Slogger, Cryptic | |||
| 2008年(頃) | Asprox | 15,000[81] | Danmec, Hydraflux | |||
| Spamthru | 12,000[80] | 0.35 | Spam-DComServ, Covesmer, Xmiler | |||
| 2008年(頃) | Gumblar | |||||
| 2009年(5月) | 2010年11月(完全ではない) | BredoLab | 30,000,000[82] | 3.6 | Oficla | |
| 2009年(頃) | 2012-07-19 | Grum | 560,000[83] | 39.9 | Tedroo | |
| Mega-D | 509,000[84] | 10 | Ozdok | |||
| 2009年(8月) | Festi | 250,000[85] | 2.25 | Spamnost | ||
| 2010年(3月) | Vulcanbot | |||||
| 2010年(頃) | TDL4 | 4,500,000[86] | TDSS, Alureon | |||
| Zeus | 3,600,000(米国内のみ)[87] | Zbot, PRG, Wsnpoem, Gorhax, Kneber | ||||
| 2010年 | (複数: 2011年、2012年) | Kelihos | 300,000+ | 4 | Hlux | |
| 2011年以前 | 2015-02 | Ramnit | 3,000,000[88] | |||
| 2012年(頃) | Chameleon | 120,000[89] | なし | |||
| 2014年 | Necurs | 6,000,000 | ||||
| 2013年 | 2016年(8月) | Mirai | 380,000 | なし | ||
| 2022年 | Mantis[90] | 5000 | ||||
| 2025年8月 | Rapper Bot[91] | 20,000+ | ||||
| (不明; 2025年に活動確認) | Aisuru[92] | "数十万" |
脚注
- ↑ “Thingbots: The Future of Botnets in the Internet of Things”. Security Intelligence (2016年2月20日). 2026年5月15日閲覧。
- ↑ “botnet”. Techopedia. 2026年5月15日閲覧。
- ↑ 脅威とは:FAQ Kaspersky Labs
- ↑ サイバークリーンセンター ボット ウイルスとは
- ↑ ボットネットの概要 PDF形式
- ↑ Ramneek Puri (2003年8月8日). “Bots & Botnet: An Overview”. SANS Institute. 2026年5月15日閲覧。
- ↑ C. G. J. Putman; N. Abhishta; L. J. M. Nieuwenhuis (2018年3月). “Business Model of a Botnet”. 2018 26th Euromicro International Conference on Parallel, Distributed and Network-based Processing (PDP) (英語). 2026年5月15日閲覧.
- ↑ “遠隔操作ウイルス”、その表の顔の1つは「痴漢君(Chikan.exe)」
- ↑ 命令を受けて2ちゃんねるへの攻撃を行なうボット「Trojan.Sufiage.C」
- ↑ “Office of Public Affairs”. www.justice.gov (2015年3月18日). 2026年5月15日閲覧。
- ↑ “Internet Crime Complaint Center (IC3)”. www.ic3.gov. 2026年5月15日閲覧。
- ↑ “FBI Dismantles World's Largest Botnet: 911 S5 Botnet” (英語). www.cobalt.io. 2026年5月15日閲覧。
- ↑ “Trojan horse, and Virus FAQ”. DSLReports. 2026年5月15日閲覧。
- ↑ Dancho Danchev (2013年10月11日). “Novice cyberciminals offer commercial access to five mini botnets”. Webroot 2026年5月15日閲覧。
- ↑ “Many-to-Many Botnet Relationships”. Damballa (2009年6月8日). 2026年5月15日閲覧。
- 1 2 Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (2007) (英語). Botnets. Burlington, Virginia: Syngress. pp. 29-75. ISBN 9781597491358
- ↑ “Botnets: Definition, Types, How They Work” (英語). Crowdstrike. 2026年5月15日閲覧。
- 1 2 3 4 Simon Heron (2007). “Botnet command and control techniques”. Network Security 2007 (4): 13-16. doi:10.1016/S1353-4858(07)70045-4.
- ↑ Wang, Ping (2010). “Peer-to-peer botnets”. In Stamp, Mark; Stavroulakis, Peter. Handbook of Information and Communication Security. Springer. ISBN 9783642041174
- ↑ C.Y. Cho; D. Babic; R. Shin; D. Song (2010). Inference and Analysis of Formal Models of Botnet Command and Control Protocols. 2010 ACM Conference on Computer and Communications Security. 2026年5月15日閲覧.
- ↑ Teresa Dixon Murray (2012年9月28日). “Banks can't prevent cyber attacks like those hitting PNC, Key, U.S. Bank this week”. Cleveland.com 2026年5月15日閲覧。
- ↑ Pieter Arntz (2016年3月30日). “The Facts about Botnets”. Malwarebytes Labs. 2026年5月15日閲覧。
- ↑ Schiller, Craig A.; Binkley, Jim; Harley, David; Evron, Gadi; Bradley, Tony; Willems, Carsten; Cross, Michael (2007). “Alternative Botnet C&Cs”. Botnets. Burlington, Virginia: Syngress. pp. 77-95. ISBN 978-159749135-8
- ↑ Charlie Osborne. “Hammertoss: Russian hackers target the cloud, Twitter, GitHub in malware spread”. ZDNet 2026年5月15日閲覧。
- ↑ Ryan Singel (2009-08-13). “Hackers Use Twitter to Control Botnet”. Wired 2026年5月15日閲覧。.
- ↑ “First Twitter-controlled Android botnet discovered”. (2016年8月24日) 2026年5月15日閲覧。
- ↑ Sean Gallagher (2014年10月3日). “Reddit-powered botnet infected thousands of Macs worldwide”. Ars Technica 2026年5月15日閲覧。
- ↑ Catalin Cimpanu (2017年6月6日). “Russian State Hackers Use Britney Spears Instagram Posts to Control Malware”. Bleeping Computer 2026年5月15日閲覧。
- ↑ Lenny Zeltser. “When Bots Use Social Media for Command and Control”. zeltser.com. 2026年5月15日閲覧。
- ↑ Alexis Dorais-Joncas (2013年1月30日). “Walking through Win32/Jabberbot.A instant messaging C&C” 2026年5月15日閲覧。
- ↑ Lucian Constantin (2013年7月25日). “Cybercriminals are using the Tor network to control their botnets”. PC World 2026年5月15日閲覧。
- ↑ “Cisco ASA Botnet Traffic Filter Guide”. Cisco. 2026年5月15日閲覧。
- ↑ Scott Berinato (2006-11). “Attack of the Bots”. Wired 2026年5月15日閲覧。.
- ↑ Quinn Norton (2012年1月1日). “Anonymous 101 Part Deux: Morals Triumph Over Lulz”. Wired.com. 2026年5月15日閲覧。
- ↑ Andrea Peterson (2015年4月10日). “China deploys new weapon for online censorship in form of 'Great Cannon'”. The Washington Post 2026年5月15日閲覧。
- ↑ “Detecting and Dismantling Botnet Command and Control Infrastructure using Behavioral Profilers and Bot Informants”. vhosts.eecs.umich.edu. 2026年5月15日閲覧。
- ↑ DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis (PDF). Annual Computer Security Applications Conference. 2012年12月. 2026年5月15日閲覧.
- ↑
BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic. Proceedings of the 15th Annual Network and Distributed System Security Symposium. 2008.
{{cite conference}}:|access-date=を指定する場合、|url=も指定してください。 (説明) - ↑ “IRCHelp.org – Privacy on IRC”. www.irchelp.org. 2026年5月15日閲覧。
- ↑ “Researchers Boot Million Linux Kernels to Help Botnet Research”. IT Security & Network Security News (2009年8月12日). 2026年5月15日閲覧。
- ↑ “Brute-Force Botnet Attacks Now Elude Volumetric Detection”. Dark Reading (2016年12月19日). 2026年5月15日閲覧。
- ↑ “Subcommittee on Crime and Terrorism” (英語). www.judiciary.senate.gov. 2026年5月15日閲覧。
- ↑ United States. Congress. Senate. Committee on the Judiciary. Subcommittee on Crime and Terrorism (2018). Taking Down Botnets: Public and Private Efforts to Disrupt and Dismantle Cybercriminal Networks: Hearing before the Subcommittee on Crime and Terrorism of the Committee on the Judiciary, United States Senate, One Hundred Thirteenth Congress, Second Session, July 15, 2014. Washington, DC: U.S. Government Publishing Office 2026年5月15日閲覧。
- ↑ Meidan, Yair (2018). “N-BaIoT-Network-Based Detection of IoT Botnet Attacks Using Deep Autoencoders”. IEEE Pervasive Computing 17 (3): 12-22. doi:10.1109/MPRV.2018.03367731.
- ↑ García, S.; Grill, M.; Stiborek, J.; Zunino, A. (2014-09-01). “An empirical comparison of botnet detection methods”. Computers & Security 45: 100-123. doi:10.1016/j.cose.2014.05.011 2026年5月15日閲覧。.
- 1 2 3 ENISA Threat Landscape 2025 (PDF) (Report). ENISA. 2025. 2026年3月27日閲覧.
- 1 2 3 4 5 “What Is a Bot or Botnet Service?”. Akamai. 2026年3月27日閲覧。
- ↑ “Here's why massive website outages will continue happening” (英語). Vox (2016年10月24日). 2026年5月15日閲覧。
- ↑ Legal Implications of Countering Botnets (PDF) (Report). NATO CCDCOE. 2012. 2026年3月27日閲覧.
- 1 2 3 4 Georgoulias, Dimitrios; Pedersen, Jens Myrup; Falch, Morten; Vasilomanolakis, Emmanouil (2023). “Botnet Business Models, Takedown Attempts, and the Darkweb Market: A Survey”. ACM Computing Surveys 55 (11): Article 219. doi:10.1145/3575808.
- ↑ “What is phishing? - Definition from WhatIs.com” (英語). SearchSecurity. 2026年5月15日閲覧。
- ↑ Mario Aguilar (2015年4月14日). “The Number of People Who Fall for Phishing Emails Is Staggering” (英語). Gizmodo. 2026年5月15日閲覧。
- ↑ “ボットネットの概要” (PDF). JPCERTコーディネーションセンター (2006年). 2026年3月27日閲覧。
- ↑ ENISA Threat Landscape 2020 - Botnet (Report). ENISA. 2020. 2026年3月27日閲覧.
- 1 2 “Emotet Malware”. CISA. CISA. 2026年3月27日閲覧。
- ↑ Kundu, Krishanu (2025). “Blockchain Security: Botnets and Bitcoin Mining - A Study on the Impacts and Countermeasures”. Recent Advances in Electrical & Electronic Engineering 18 (2). doi:10.2174/0123520965301502240827114505.
- ↑ Shaun Nichols (2014年6月24日). “Got a botnet? Thinking of using it to mine Bitcoin? Don't bother” 2026年5月15日閲覧。
- ↑ “Bitcoin Mining”. BitcoinMining.com. 2026年5月15日閲覧。
- ↑ Kupchik, Stiv (2024年1月9日). “You Had Me at Hi — Mirai-Based NoaBot Makes an Appearance”. Akamai Security Research. 2026年3月27日閲覧。
- ↑ “JPCERT/CC WEEKLY REPORT 2008-10-22”. JPCERT/CC. 2026年3月27日閲覧。
- ↑ “Operation Aurora — The Command Structure”. Damballa.com. 2026年5月15日閲覧。
- ↑ FTC. Social Media Bots and Deceptive Advertising (PDF) (Report). 2026年5月15日閲覧.
- ↑ Mary Credeur (2002年7月22日). “Atlanta Business Chronicle, Staff Writer”. bizjournals.com. 2026年5月15日閲覧。
- ↑ Mary Jane Credeur (2002年7月22日). “EarthLink wins $25 million lawsuit against junk e-mailer”. 2026年5月15日閲覧。
- ↑ Paulson, L.D. (2006-04). “News Briefs: Hackers Strengthen Malicious Botnets by Shrinking Them”. Computer 39 (4): 17-19. doi:10.1109/MC.2006.136 2026年5月15日閲覧。.
- 1 2 Alejandro Cuevas (2015年2月18日). “Botnets: Zombies, Spam, and Attacks”. 2026年5月15日閲覧。
- ↑ Ogu, Emmanuel C.; Ojesanmi, Olusegun A.; Awodele, Oludele; Kuyoro, ‘Shade (2019). “A Botnets Circumspection: The Current Threat Landscape, and What We Know So Far”. Information 10 (11): 337.
doi:10.3390/info10110337
{{doi}}: 明示されていないフリーアクセスDOI (カテゴリ). - ↑ Chuck Miller (2009年5月5日). “Researchers hijack control of Torpig botnet”. SC Magazine US. 2026年5月15日閲覧。
- ↑ “Storm Worm network shrinks to about one-tenth of its former size”. Tech.Blorge.Com (2007年10月21日). 2026年5月15日閲覧。
- ↑ Chuck Miller (2008年7月25日). “The Rustock botnet spams again”. SC Magazine US. 2026年5月15日閲覧。
- ↑ Joe Stewart (2009年1月13日). “Spam Botnets to Watch in 2009”. SecureWorks. 2026年5月15日閲覧。
- ↑ “Pushdo Botnet — New DDOS attacks on major web sites — Harry Waldron — IT Security”. Msmvps.com (2010年2月2日). 2026年5月15日閲覧。
- ↑ “New Zealand teenager accused of controlling botnet of 1.3 million computers”. The H security. (2007年11月30日) 2026年5月15日閲覧。
- ↑ “Technology”. BBC News. (2008年11月26日) 2026年5月15日閲覧。
{{cite news}}: 名無し引数「Spam on rise after brief reprieve」は無視されます。 (説明)⚠ - ↑ “Sality: Story of a Peer-to-Peer Viral Network”. Symantec (2011年8月3日). 2026年5月15日閲覧。
- ↑ “How FBI, police busted massive botnet”. theregister.co.uk (2010年3月3日). 2026年5月15日閲覧。
- ↑ “New Massive Botnet Twice the Size of Storm — Security/Perimeter”. DarkReading (2008年4月7日). 2026年5月15日閲覧。
- ↑ “Calculating the Size of the Downadup Outbreak — F-Secure Weblog : News from the Lab”. F-secure.com (2009年1月16日). 2026年5月15日閲覧。
- ↑ “Waledac botnet 'decimated' by MS takedown”. The Register (2010年3月16日). 2026年5月15日閲覧。
- 1 2 3 4 Gregg Keizer (2008年4月9日). “Top botnets control 1M hijacked computers”. Computerworld. 2026年5月15日閲覧。
- ↑ “Botnet sics zombie soldiers on gimpy websites”. The Register (2008年5月14日). 2026年5月15日閲覧。
- ↑ “Infosecurity (UK) - BredoLab downed botnet linked with Spamit.com”. canada.com. 2026年5月15日閲覧。
- ↑ “Research: Small DIY botnets prevalent in enterprise networks”. ZDNet. 2026年5月15日閲覧。
- ↑ Gary Warner (2010年12月2日). “Oleg Nikolaenko, Mega-D Botmaster to Stand Trial”. CyberCrime & Doing Time. 2026年5月15日閲覧。
- ↑ Jeremy Kirk (2012年8月16日). “Spamhaus Declares Grum Botnet Dead, but Festi Surges”. PC World 2026年5月15日閲覧。
- ↑ “Cómo detectar y borrar el rootkit TDL4 (TDSS/Alureon)”. kasperskytienda.es (2011年7月3日). 2026年5月15日閲覧。
- ↑ “America's 10 most wanted botnets”. Networkworld.com (2009年7月22日). 2026年5月15日閲覧。
- ↑ “EU police operation takes down malicious computer network”. phys.org. 2026年5月15日閲覧。
- ↑ “Discovered: Botnet Costing Display Advertisers over Six Million Dollars per Month”. Spider.io (2013年3月19日). 2026年5月15日閲覧。
- ↑ “This tiny botnet is launching the most powerful DDoS attacks yet” (英語). ZDNet. 2026年5月15日閲覧。
- ↑ Robert McMillan. “Oregon Man Accused of Operating One of Most Powerful Attack 'Botnets' Ever Seen” (英語). MSN.com. 2026年5月15日閲覧。
- ↑ Sead Fadilpašić (2026年1月30日). “The biggest DDoS attack ever has been detected - but fortunately you probably barely noticed it”. TechRadar Pro 2026年5月15日閲覧。
関連項目
外部リンク
- The Honeynet Project & Research Alliance – "Know your Enemy: Tracking Botnets"
- The Shadowserver Foundation – マルウェア、ボットネットの活動、電子詐欺を収集、追跡、報告する完全ボランティアのセキュリティ監視グループ
- EWeek.com – "Is the Botnet Battle Already Lost?"
- Botnet Bust – "SpyEye Malware Mastermind Pleads Guilty", FBI
- 「ボットネット」とは何ですか} - NTT技術ジャーナル
- Know your Enemy: Tracking Botnet - ウェイバックマシン(2005年3月16日アーカイブ分) (本稿の主な出典)
- サイバークリーンセンター - ウェイバックマシン(2015年3月16日アーカイブ分) 総務省・経済産業省によるbot駆除を支援する連携プロジェクト
- ボットネット対策 - 警視庁
|
|
|
|---|---|
| 伝染性マルウェア | |
| 潜伏手法 | |
| 収益型マルウェア | |
| OS別マルウェア | |
| マルウェアからの保護 | |
| マルウェアへの対策 | |
| |
|
| 典拠管理データベース: 国立図書館 |
|---|
- Botnetのページへのリンク