( 1 ) ボットネットとは?
ボットネットとは、悪意のある攻撃者により、操作を奪われたデバイス(パソコンなど)が複数台で構成するネットワークを意味しています。
そもそも、ボットとは指定されたタスクを自動的に実行するプログラムのことで、このボットに感染してしまったパソコンなどの端末は、司令塔であるC&Cサーバ(※1)
を介して乗っ取られてしまいます。この感染してしまった端末から構成されるネットワークのことをボットネットと呼びます。
このようにボットに感染してしまった端末をゾンビマシンなどと呼びます。ゾンビマシンは遠隔で操作され、端末の情報を抜き取られたり、外部の標的を攻撃させられたり、攻撃者の操り人形になったりしてしまうわけです。インターネットに接続された機器であればどのようなものでもゾンビマシンになる可能性があります。
( 2 ) ボットネットの仕組み・種類
攻撃者は、端末に気づかれないうちにボット感染させる、さまざまな手段を用います。ボットの感染経路は主に以下が挙げられます。
- メールに添付された不正ファイルの実行およびダウンロード
- Webサイトアクセスによる不正プログラムのダウンロード
- アプリストア経由による偽アプリのダウンロード
- ネットワーク経由の不正アクセス
- ファイル交換ソフトの利用による感染
ボットネットは大きく分けて、社内LANなど組織内のネットワークにつながる端末を攻撃対象とするものと、インターネットを通じて外部に攻撃を行うものがあります。
組織内への攻撃には、IDとパスワードを盗み出して重要なデータへアクセスし、その情報を外部に送信するといったものがあります。
外部への攻撃には、ボットネット内の複数の端末を駆使して、特定のサーバやネットワークへアクセスを集中させ、サービスをダウンさせるDDoS攻撃といったものがあります。また、クリック数に応じて広告料が得られる成功報酬型広告などでは、ボットネットを通じて大量にクリックさせ、報酬を受け取るケースもあります。
( 3 ) ボットネットの事例
IoT機器を標的としたマルウェア「Mirai(ミライ)」 Miraiは2016年に観測されたマルウェアで、Linux(※2)ベースのIoT 端末に感染します。これまでに何度も事件が起きており、ボットネットとして最も有名な事例です。

Miraiは、感染したIoT端末から他端末を探索し、自己増殖を繰り返すという特徴を持っています。こうして構成したボットネットから大量のデータを標的のサーバに送り、ウェブサイトやサービスの提供を阻害します。
感染するIoT端末の中には監視カメラやWebカメラ、ルータといった日常的に手に取らないものも多く、ウイルスの感染に気づきにくいという特徴があります。
※1 C&Cサーバ:コマンドアンドコントロールサーバ(Command and Control
server)の意味で、ボットネットに指令を送信・制御するサーバ。
※2
Linux:OSの一種。無料のオープンソース(ソースコードを一般公開し、使用や修正、拡張、再配布を認めている状態)であることが特徴。