DDoSボットネットとは?

ボットネット攻撃は記録上最も大規模なDDoS攻撃に寄与しています。デバイスがボットネットマルウェアに感染する仕組みやボットをリモートからコントロールする方法、ネットワークをボットネットの侵入から守る方法を学びましょう。

Share facebook icon linkedin icon twitter icon email icon

ボットネット

学習目的

この記事を読んだ後、以下のことが出来きます。

  • DDoSボットネットの定義
  • ボットネットの作成理由の説明
  • ボットネットがリモートから攻撃者に制御される仕組みの理解
  • ボットネットを無効化し侵入を阻止する戦略の理由

ボットネットとは?

ボットネットとは、マルウェアに感染し、悪意のある攻撃者の制御下に置かれたコンピューター群を指します。ボットネットという言葉は、ロボットとネットワークのかばん語で、各感染デバイスのことをボットと呼びます。ボットネットは、スパムの送信、データの盗難、ランサムウェア、広告の不正クリック、分散型サービス妨害(DDoS)攻撃などの違法または悪意のあるタスクを実行するように設計できます。


ランサムウェアなどの一部のマルウェアがデバイス所有者に直接的な影響を与えるのに対し、DDoSのボットネットマルウェアの可視性は異なります。デバイスの完全なコントロールができるよう設計されるものもあれば、バックグラウンドプロセスとして実行し攻撃者、つまり「ボットハーダー」からの指示を静かに待つものもあります。


自己伝播型のボットネットはさまざまなチャネルを通じて別のボットを補強していきます。感染経路には、Webサイトの脆弱性の悪用、トロイの木馬マルウェア、脆弱な認証のクラッキングによるリモートアクセスの獲得などがあります。 アクセスを獲得すると、これらの感染方法はすべて、ターゲットデバイスにマルウェアをインストールし、ボットネットのオペレーターによるリモート制御を可能にします。デバイスが感染すると、周辺ネットワークにある他のハードウェアデバイスを獲得することでボットネットマルウェアを自己伝播しようとすることもあります。


ボットネット内の正確なボット数を特定することは不可能ですが、高度なボットネット内にあるボットの推定総数は数千から数百にもおよびます。

DDoSボットネット攻撃のアニメーション

ボットネットの作成理由とは?

ボットネットを使用する理由は、積極行動主義から政府が支援する破壊行為までさまざまですが、多くの攻撃が単純な利益目的です。ボットネットサービスをオンラインで利用するのは比較的、特に引き起こす損害の規模に関して言えば安価です。ボットネットを作成する際の障壁も低いため、特に規制や法執行が制限されている地域では、一部のソフトウェア開発者にとって利益の出るビジネスになります。これらのことにより、攻撃請負を提供するオンラインサービスが急激に拡散しています。

ボットネットのコントロール方法とは?

ボットネットの主な特徴はボットハーダーからの最新指示を受け取れるところです。ネットワーク内の各ボット間で通信できることにより、攻撃者は攻撃ベクトルの変更やターゲットとなるIPアドレスの変更、攻撃の中止、その他カスタマイズした行動を取ることが可能です。ボットネットの設計はさまざまですが、その制御構造は2つのカテゴリーに分けられます。

クライアント/サーバーのボットネットモデル

クライアント/サーバーモデルは、個別マシンが情報にアクセスするために1台の中央サーバー(または少数の中央サーバー)に接続するという従来のリモートワークステーションのワークフローを真似たものです。このモデルでは各ボットが指示を受け取るためにWebドメインやIRCチャネルのようなコマンドアンドコントロールセンター(CnC)リソースに接続します。 このような中央リポジトリを用いてボットネットの新規コマンドを配信するることで、攻撃者は各ボットネットがコマンドセンターから消費するソースマテリアルを変更するだけで、感染したマシンへの指示を更新することができます。ボットネットを制御する中央サーバーは攻撃者が所有、操作するデバイスであることもあれば、感染デバイスであることもあります。


次のような人気のある中央ボットネットトポロジーが多く確認されています。

スター型ネットワークトポロジー

スター型ネットワークトポロジーのアニメーション

マルチサーバーネットワークトポロジー

マルチサーバーネットワークトポロジーのアニメーション

階層型ネットワークトポロジー

階層型ネットワークトポロジーのアニメーション

いずれのクライアント/サーバーモデルでも、各ボットが指示を受け取るためにWebドメインやIRCチャネルのようなコマンドセンターのリソースに接続します。このような中央リポジトリを用いてボットネットの新規コマンドを配信するることで、攻撃者は各ボットネットがコマンドセンターから消費するソースマテリアルを変更するだけで、感染したマシンへの指示を更新することができます。


制限された中央ソースからボットネットへの指示を更新するという単純さはこれらのマシンの脆弱性です。中央サーバーでボットネットを排除するにはサーバーのみを破壊する必要があります。この脆弱性の結果として、ボットネットマルウェアの作成者は進化し、単一または少数の障害点による混乱の影響を受けにくい新しいモデルに移行しました。

ピアツーピア(P2P)のボットネットモデル

クライアント/サーバーモデルの脆弱性を回避するため、最近では分散型ピアツーピアのファイル共有コンポーネントを利用して設計されているボットネットが多くあります。制御構造をボットネット内に組み込むことで中央サーバーのボットネットにあった単一障害点を排除し、対策がより困難になりました。P2Pボットはクライアントとコマンドセンターの両方になり、近隣ノードと連携してデータを伝播します。


ピアツーピアnボットネットは信頼済みコンピューターのリストを保持しており、このコンピューターを使用して通信を送受信し、マルウェアを更新できます。ボットが接続する他のマシンの数を制限することで各ボットが隣接するデバイスのみに露出ことになり、追跡や対策がしにくくなります。中央のコマンドサーバーがないことで、ピアツーピアのボットネットはボットネットの作成者以外の誰かによる制御に対してより脆弱になります。制御を失わないようにするため、分散型ボットネットは通常暗号化されており、アクセスが制限されます。

ピアツーピアのネットワークトポロジーのアニメーション

IoTデバイスがボットネットになる仕組みとは?

鳥の餌箱を見るために裏庭に設置したワイヤレスのCCTVカメラからインターネットバンキングを行う人はいませんが、だからといってこのデバイスが必要なネットワークリクエストを作成できないというわけではありません。IoTデバイスの力とセキュリティの弱さや不適切な設定を組み合わせることで、ボットネットマルウェアが新たなボットを収集するための入り口が作られます。IoTデバイスの増加により、多くのデバイスの設定が不適切で脆弱であるため、DDoS攻撃の新たな状況が生まれました。


IoTデバイスの脆弱性がファームウェアにハードコーディングされると、更新がより困難になります。デフォルトの資格情報がデバイスの初回インストール時から通常変更されないままなので、リスクを軽減するには古いファームウェアのIoTデバイスを更新しなければなりません。ハードウェアを安売りするメーカーの多くはデバイスを安全にすることによるインセンティブを受けていないため、ボットネットマルウェアからIoTデバイスにもたらされる脆弱性は未解決のセキュリティリスクのままです。

既存のボットネットを無効化するには?

ボットネットのコントロールセンターの無効化

コマンドアンドコントロールスキーマを用いて設計されたボットネットは、コントロールセンターを特定できれば簡単に無効化することができます。障害点の原因を断つことでボットネット全体をオフラインにすることが可能です。その結果、システム管理者や法執行機関がこういったボットネットのコントロールセンター閉鎖に注力しています。コマンドセンターが法執行機関の能力が低かったり介入意思がなかったりする場所で運営されている場合、このプロセスはより困難になります。

個別デバイスの感染を排除

個人用コンピューターの場合、マシンのコントロールを取り戻す策として、ウイルス対策ソフトの実行、安全なバックアップからのソフトウェアの再インストール、システムの再フォーマット後のクリーンなマシンでのやり直しなどが挙げられます。IoTデバイスの場合、ファームウェアのフラッシュや工場出荷時のリセットの実行、その他デバイスフォーマットといった対策があります。こういったオプションが実行できない場合、デバイスのメーカーやシステム管理者による他の対策が利用できる場合もあります。

デバイスがボットネットの一部になるのを防ぐ方法とは?

安全なパスワードの作成

多くの脆弱なデバイスでは、過アンリ者の資格情報をデフォルトのユーザー名やパスワード以外のものに変更するという簡単な方法でボットネットの脆弱性に晒すのを減らすことができます。安全なパスワードにすることでブルートフォースクラッキングが困難になり、非常に安全なパスワードにすればブルートフォースクラッキングが事実上不可能になります。 たとえば、Miraiマルウェアに感染したデバイスが応答デバイスを探してIPアドレスをスキャンします。デバイスがpingリクエストに応答すると、ボットはデフォルトの資格情報のプリセットリストを利用して検出したデバイスにログインしようとします。デフォルトのパスワードが変更されており安全なパスワードになっていれば、ボットは諦めて他のもっと脆弱なデバイスを探しに行きます。

信頼できるサードパーティのコードの実行のみを許可

携帯電話モデルのソフトウェア実行を採用している場合、ホワイトリストにあるアプリケーションのみが実行でき、ボットネットを含む悪意とみなされたソフトウェアを止めるための制御がより多く許可されます。デバイスの悪用となるのはスーパーバイザーソフトウェア(=カーネル)の悪用のみです。これは第一にほとんどのIoTデバイスにはない安全なカーネルがあることが条件であり、サードパーティソフトウェアを実行するマシンにより適切です。

定期的なシステムワイプ/リストア

設定した時間後の良好な状態に福毛円することで、システムが収集したボットネットソフトウェアなどを排除できます。この方法を防止策として利用することで、静かに実行されているマルウェアでさえも排除することができます。

優れたイングレス/エグレスのフィルタリングを実装

その他のより高度な対策に、ネットワークルーターやファイアウォールでのフィルタリングがあります。安全なネットワーク設計の原則は階層化です。一般にアクセス可能なリソースに関する制限を最小限に抑えながら、機密と見なされるもののセキュリティを継続的に強化します。 さらに、ネットワークトラフィックやUSBドライブなど、境界を超えるものはすべて精査しなければなりません。良質なフィルタリングの実践により、DDoSマルウェアとその伝播および通信方法がネットワークに出入りする前に捕捉される可能性が高くなります。


現在攻撃を受けているのであれば、困難から逃れるためにできることがあります。Cloudflareに既にご登録されている方は、攻撃を軽減するためのステップに従ってください。多くの考えうる攻撃ベクトルを軽減するため、Cloudflareで実施しているDDoS対策は多角的です。CloudflareのDDoS対策について詳しくご確認ください。